9 


. 世纪 高 等 院 校 计 算 机 网 络 工程 专业 规划 教材 


网 络 安全 与 管理 


可 下 载 教学 资料 
http-//wwwtap.tsinghuscdu cn 


清华 大 学 出 版 社 


9 生动 
| 


21 世纪 高 等 院 校 网 络 工程 专业 规划 教材 


网 络 安全 与 管理 


石 大 赵 慧 然 编著 


内 容 简 介 


本 书 是 根据 作者 多 次 讲授 “网 络 安全 ”课程 的 教学 经 验 以 及 进行 实验 指导 的 体会 编写 而 成 的 。 本 书 从 
实践 出 发 ,以 基本 理论 的 应 用 和 网 络 安全 工具 的 使 用 为 中 心 , 以 理论 讲述 为 基础 ,避免 了 一 些 传统 网 络 安 
全 教材 理论 过 多 、 理 论 过 难 、 操 作 性 不 强 、 理 论 和 实际 联系 不 紧 的 问题 ,重点 介绍 网 络 安全 领域 的 最 新 问题 
和 工具 的 运用 。 

全 书 分 理论 部 分 9 章 和 实验 部 分 6 章 。 理 论 部 分 是 对 网 络 安全 体系 结构 和 技术 的 详细 讲解 ,通过 这 
一 部 分 使 学 生 在 理论 上 有 一 个 清楚 的 认识 ,每 章 后 面 都 有 各 类 习题 供 学 生 总 结 和 复习 所 学 的 知识 ; 实验 部 
分 选择 了 目前 常用 的 几 种 网 络 安全 工具 ,通过 对 工具 的 使 用 与 操作 ,达到 理解 运用 的 目的 。 附 录 中 还 提供 
了 一 个 完整 的 应 用 系统 网 络 安全 解决 方案 ,将 网 络 安全 理论 知识 与 现实 的 工程 项 目 综合 起 来 ,以 便 学生 
“看 懂 ,学 会 .用 上 ?”。 

本 书 可 作为 网 络 工 程 . 计 算 机 、 信 息 安全 等 专业 本 科 生 的 教科 书 与 实验 教材 ,也 可 供 从 事 相关 专业 的 
教学 .科研 和 工程 人 员 人 参考 。 

本 书 配套 的 电子 课件 可 从 清华 大 学 出 版 社 网 站 (http://www. tup. com. cn) 下 载 。 


本 书 封面 贴 有 清华 大 学 出 版 社 防伪 标签 ,无 标签 者 不 得 销售 。 
版 权 所 有 ,侵权 必 究 。 侵 权 举报 电话 : 010-62782989 ”13701121933 
图 书 在 版 编目 (CIP) 数 据 


网 络 安全 与 管理 / 石 舌 , 赵 慧 然 编著 . 一 北京 : 清华 大 学 出 版 社 ,2009.9 
(21 世纪 高 等 院 校 计算 机 网 络 工程 专业 规划 教材 ) 
ISBN 978-7-302-20561-6 


工 . 网 … 开 . @ 石 … @ 赵 … 亚 . 计算 机 网 络 一 安全 技术 .TP393. 08 
中 国 版 本 图 书馆 CIP 数据 核 字 (2009) 第 151076 号 


责任 编辑 : 索 梅 ” 徐 跃进 


责任 校对 : 白 车 

责任 印 制 : 

出 版 发 行 : 清华 大 学 出 版 社 地 址 : 北京 清华 大 学 学 研 大 厦 A 座 
http://www. tup. com. cn 邮 编 : 100084 
社 总 机 : 010-62770175 邮 购 : 010-62786544 


投稿 与 读者 服务 : 010-62776969,c-service@tup. tsinghua. edu. cn 
质 量 反 馈 : 010-62772015,zhiliang@tup. tsinghua. edu. cn 


印刷 者 : 

装订 者 : 

经 销 : 全 国 新 华 书店 

开 ”本 : 185X260 印 张 : 18.75 字 ” 数 : 448 千 字 

版 ”次 : 2009 年 9 月 第 1 版 印 次 : 2009 年 9 月 第 1 次 印刷 
印 数 : 1 一 000 

定 价 : .00 元 


本 书 如 存在 文字 不 清 、 漏 印 、 缺 页 , 倒 页 、 脱 页 等 印 装 质量 问题 ,请 与 清华 大 学 出 版 社 出 版 部 联系 调换 。 
联系 电话 : 010-62770177 转 3103 品 编号 : 


| 


21 世纪 是 互联 网 时 代 , 网 络 安全 的 内 涵 发 生 了 根本 性 的 变化 。 网 络 安 全 在 信息 领域 中 
的 地 位 从 一 般 性 的 防卫 手段 变 成 了 非常 重要 的 安全 防御 措施 ; 网 络 安全 技术 从 之 前 只 有 少 
部 分 人 研究 的 专门 领域 变 成 了 生活 中 无 处 不 在 的 普遍 应 用 。 当 人 类 步 和 人 21 世纪 这 一 信息 
社会 的 时 候 ,网 络 安全 问题 成 为 互联 网 的 焦点 ,我 们 每 个 人 都 时 刻 关 注 着 与 自身 密 不 可 分 的 
网 络 系统 的 安全 ,从 应 用 和 管理 的 角度 建立 起 一 套 完整 的 网 络 安全 体系 无 论 对 于 单位 还 是 
个 人 都 显得 尤为 重要 ,提高 网 络 安全 意识 .掌握 网 络 安全 管理 工具 的 使 用 逐步 提 到 日 程 
下 来。 

“网 络 安全 与 管理 ?是 计算 机 专业 ,网 络 工程 专业 的 主要 专业 课 , 学 生 应 从 四 个 方面 掌握 
网 络 安全 的 基本 概念 ,应 用 技术 ,管理 工具 的 使 用 以 及 解决 方案 的 设计 。 

1. 网 络 安全 的 基本 概念 

网 络 安全 是 指 网 络 系统 的 硬件 .软件 及 其 系统 中 的 数据 受到 保护 ,不 因 偶然 的 或 恶意 的 
原因 而 遭受 到 破坏 .更 改 ,. 泄 露 ,系统 连续 .可靠 .正常 地 运行 ,网 络 服务 不 中 断 。 网 络 安全 从 
其 本 质 上 来 讲 就 是 网 络 上 的 信息 安全 ; 从 广义 上 说 ,凡是 涉及 网 络 上 信息 的 保密 性 、 完 整 
性 、 可 用 性 、 真 实 性 和 可 控 性 的 相关 技术 和 理论 都 是 网 络 安 全 的 研究 领域 。 本 书 从 网 络 安全 
的 各 个 方面 进行 了 基本 的 介绍 ,这 些 介绍 主要 包括 各 种 技术 的 概念 ,分 类 、 原 理 、 特 点 等 知 
识 ,而 对 于 复杂 而 枯燥 的 算法 和 理论 研究 没有 作 详 细 介绍 ,通过 对 这 些 知 识 的 学 习 来 理解 网 
络 安全 体系 中 各 部 分 之 间 的 联系 。 

2. 网络 安全 应 用 技术 

网 络 安 全 应 用 技术 是 指 致力 于 解决 诸如 如 何 有 效 进行 访问 控制 ,以 及 如 何 保 证 数据 传 
输 的 安全 性 的 技术 手段 ,主要 包括 网 络 监控 技术 、 密 码 技术 ,病毒 防御 技术 、 防 火 墙 技术 .人 
侵 检测 技术 .VPN 技术 ,及 其 他 安全 服务 和 安全 机 制 策略 。 单 一 的 网 络 安全 技术 和 网 络 安 
全 产品 无 法 解决 网 络 安全 的 全 部 问题 ,应 根据 应 用 需求 和 安全 策略 ,综合 运用 各 种 网 络 安全 
技术 以 达到 全 面 保护 网 络 的 要 求 。 本 书 对 于 这 些 技术 分 章节 地 进行 了 详细 介绍 。 

3. 网 络 安全 管理 工具 

如 果 想 对 网 络 安全 进行 综合 处 理 , 就 要 使 用 多 种 网 络 安 全 管理 工具 ,同时 将 管理 工具 和 
系统 工具 配合 使 用 , 才 会 起 到 事半功倍 的 作用 。 在 本 书 的 实验 部 分 对 常用 的 网 络 安全 管理 
工具 进行 了 相应 的 练习 ,通过 学 习 使 用 这 些 常 用 的 工具 来 理解 网 络 安全 方案 的 具体 解决 
方法 。 

4. 网 络 安全 解决 方案 设计 

网 络 安全 建设 是 一 个 系统 工程 ,网 络 安全 解决 方案 的 设计 直接 影响 到 工程 的 质量 。 
个 完善 的 解决 方案 应 该 包含 哪些 部 分 、 应 该 提供 哪些 服务 、 如 何 评估 方案 的 质量 ,都 是 学 


生 
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需要 学 习 并 理解 的 。 在 附录 A 中 给 出 了 一 个 网 络 安全 解决 方案 ,通过 这 个 方案 使 学 生理 解 
如 何 针对 一 个 真实 的 网 络 设计 安全 方案 。 

本 书 是 一 本 以 网 络 安全 管理 应 用 为 目的 ,网 络 安全 工具 使 用 为 重点 ,理论 讲述 为 基础 的 
系统 性 ,应 用 性 较 强 的 网 络 安全 教材 。 本 教材 握 弃 了 传统 网 络 安全 教材 中 理论 过 多 、 过 难 、 
实用 性 不 强 \ 理 论 和 实践 不 配套 ,管理 工具 不 通用 等 问题 ,以 培养 学 生 和 掌握 基本 网 络 安全 理 
论 知 识 和 网 络 应 用 管理 相 结 合 为 目的 。 教 材 从 应 用 的 角度 系统 讲述 了 网 络 安全 所 涉及 的 理 
论 及 技术 。 以 网 络 安全 管理 工具 的 使 用 能 力 为 培养 目的 ,通过 实验 演练 ,使 学 生 能 够 综合 运 
用 书 中 所 讲授 的 技术 进行 网 络 信息 安全 方面 的 实践 。 

本 书 分 为 理论 部 分 (9 章 ) 和 实验 部 分 (6 章 ) ,理论 部 分 是 对 网 络 安全 基本 理论 和 技术 的 
详细 讲解 ,通过 这 一 部 分 使 学 生 在 理论 上 有 一 个 清楚 的 认识 ; 实验 部 分 选择 了 目前 常用 的 
几 种 网 络 安全 工具 ,通过 对 工具 的 使 用 与 操作 ,把 理论 和 实践 联系 起 来 ,达到 理解 运用 的 
目的 。 

本 书 可 作为 网 络 工程 .计算 机 、 信 息 安全 等 专业 本 科 生 的 教科 书 ,也 可 供 从 事 相关 专业 
的 教学 .科研 和 工程 人 员 参 考 。 

本 书 至 少 需要 48 学 时 来 进行 学 习 , 其 中 理论 授课 24 学 时 ,实验 24 学 时 ,在 每 章 的 后 面 
都 有 习题 以 供 学 生 总 结 和 复习 所 学 的 知识 ,并 在 附录 中 给 出 了 习题 答案 。 

本 书 由 石 硕 主 编 ,其 中 第 3 章 、 第 4 章 和 实验 3 由 赵 慧 然 编 写 。 由 于 作者 水 平 有 限 ,不 
当 之 处 敬 请 读者 提出 宝贵 意见 。 

在 本 书 编写 过 程 中 ,计算 机 工程 学 院 李 彤 院 长 , 张 坤 副 院 长 .网 络 工程 系 主任 肖 建 良 给 
予 了 作者 深切 的 关怀 与 鼓励 ,对 于 本 书 的 编写 提供 了 帮助 与 指导 ,在 此 表示 衷心 的 感谢 。 
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第 1 章 网 络 安全 概述 


1.1 互联 网 介绍 


因特网 (Internet, 又 称 网 际 网 、 国 际 互联 网 ), 即 广域网 .局 域 网 及 单机 按照 一 定 的 通信 
协议 组 成 的 国际 计算 机 网 络 。 互 联网 是 指 将 两 台 计 算 机 或 者 是 两 台 以 上 的 计算 机 终端 、 客 
户 端 ,服务 端 通过 计算 机 信息 技术 的 手段 互相 联系 起 来 计算 机 网 络 。 通 过 互联 网 人 们 可 以 
与 远 在 千里 之 外 的 朋友 相互 发 送 邮件 ,共同 完成 一 项 工作 ,共同 娱乐 。 其 实 , 人 们 通常 所 说 
的 互联 网 ,都 是 指 因特网 ,或 者 说 是 包含 因特网 的 ,本 书 所 提 的 互联 网 ,也 正 是 包含 因特网 的 
计算 机 网 络 。 

1995 年 10 月 24 日 ,联合 网 络 委 员 会 通过 了 一 项 关于 “互联 网 定义 ”的 决议 ,联合 网 络 
委员 会 认为 ,下 述 语言 反映 了 对 “互联 网 ”这 个 词 的 定义 。 

“互联 网 ” 指 的 是 全 球 性 的 信息 系统 : 

(1) 通过 全 球 性 的 唯一 的 地 址 逻辑 地 链接 在 一 起 ,这 个 地 址 是 建立 在 互联 网 协议 (IP) 
或 今后 其 他 协议 基础 之 上 的 。 

(2) 可 以 通过 传输 控制 协议 和 互联 网 协议 (TCP/IP) ,或 者 今后 其 他 接替 的 协议 或 与 互 
联网 协议 (IP) 兼 容 的 协议 来 进行 通信 。 

(3) 可 以 让 公共 用 户 或 者 私人 用 户 使 用 高 水 平 的 服务 ,这 种 服务 是 建立 在 上 述 通信 及 
相关 的 基础 设施 之 上 的 。 

这 当然 是 从 技术 的 角度 来 定义 互联 网 。 这 个 定义 至 少 揭示 了 三 个 方面 的 内 容 : 首先 ， 
互联 网 是 全 球 性 的 ; 其 次 ,互联 网 上 的 每 一 台 主机 都 需要 有 “地 址 ”; 最 后 ,这 些 主机 必须 按 
照 共同 的 规则 (协议 ) 连 接 在 一 起 。 


1.1.1 互联 网 的 影响 


互联 网 是 全 球 性 的 。 这 就 意味 着 人 们 目前 使 用 的 这 个 网 络 (不 管 是 谁 发 明了 它 ) 是 属于 
全 人 类 的 。 这 种 “全 球 性 ”并 不 是 一 个 空洞 的 政治 口号 ,而 是 有 其 技术 保证 的 。 互 联网 的 结 
构 是 按照 * 包 交换 ”的 方式 连接 的 分 布 式 网 络 。 因 此 ,在 技术 的 层面 上 ,互联 网 绝对 不 存在 中 
央 控 制 的 问题 。 也 就 是 说 ,不 可 能 存在 某 一 个 国家 或 者 某 一 个 利益 集团 通过 某 种 技术 手段 
来 控制 互联 网 的 问题 。 反 过 来 ,也 无 法 把 互联 网 封闭 在 一 个 国家 之 内 (除非 建立 的 不 是 互 
联网 ) 。 

然而 ,这 样 一 个 全 球 性 的 网 络 ,必须 要 有 某 种 方式 来 确定 连 入 其 中 的 每 一 台 主 机 在 
互联 网 上 绝对 不 能 出 现 类 似 两 个 人 同名 的 现象 。 这 样 ,就 要 有 一 个 固定 的 机 构 来 为 每 一 
台 主 机 确定 名 字 , 由 此 确定 这 台 主 机 在 互联 网 上 的 “地 址 ”。 但 这 仅仅 是 “命名 权 ”, 这 种 
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确定 地 址 的 权力 并 不 意味 着 控制 的 权力 。 负 责 命名 的 机 构 除 了 命名 之 外 ,并 不 能 做 更 多 
的 事情 。 

同样 ,这 个 全 球 性 的 网 络 也 需要 有 一 个 机 构 来 制定 所 有 主机 都 必须 遵守 的 交往 规则 ( 协 
议 ) ,否则 就 不 可 能 建立 起 全 球 所 有 不 同 的 计算 机 、 不 同 的 操作 系统 都 能 够 通用 的 互联 网 。 
下 一 代 TCP/IP 协议 将 对 网 络 上 的 信息 等 级 进行 分 类 ,以 加 快 传输 速度 (比如 ,优先 传送 济 
览 信息 ,而 不 是 电子 邮件 信息 )。 同 样 , 这 种 制定 共同 遵守 的 “协议 ”的 权力 ,也 不 意味 着 控制 
的 权力 。 

毫 无 疑问 ,互联 网 的 所 有 这 些 技术 特征 都 说 明 对 于 互联 网 的 管理 完 完全 全 与 “服务 "有 
关 , 而 与 “控制 "无 关 。 

事实 上 ,目前 的 互联 网 还 远 远 不 是 人 们 经 常 说 到 的 “信息 高 速 公路 ”"。 这 不 仅 因为 目前 
互联 网 的 传输 速度 不 够 ,更 重要 的 是 互联 网 还 没有 定型 ,还 一 直 在 发 展 、 变 化 。 因 此 ,任何 对 
互联 网 的 技术 定义 也 只 能 是 当下 的 、 现 时 的 。 

与 此 同时 ,在 越 来 越 多 的 人 加 入 到 互联 网 中 、 越 来 越 多 地 使 用 互联 网 的 过 程 中 ,也 会 不 
断 地 从 社会 ,文化 的 角度 对 互联 网 的 意义 、 价 值 和 本 质 提 出 新 的 理解 。 


1.1.2 互联 网 的 意义 


互联 网 也 是 一 个 面向 公众 的 社会 性 组 织 。 世 界 各 地 数 以 万 计 的 人 们 可 以 利用 互联 网 进 
行 信息 交流 和 资源 共享 。 而 又 有 成 千 上 万 的 人 自愿 地 花费 自己 的 时 间 和 精力 ,蚂蚁 般 地 辛 
勤 工 作 ,构造 出 全 人 类 所 共同 拥有 的 互联 网 ,并 允许 他 人 去 共享 自己 的 劳动 果实 。 互 联网 反 
映 了 人 类 所 共 赏 的 无 私 精 神 ,互联 网 也 使 人 们 学 会 如 何 更 好 地 和 平 共处 。 

互联 网 是 人 类 社会 有 史 以 来 第 一 个 世界 性 的 图 书馆 和 第 一 个 全 球 性 论坛 。 任 何人 ,无 
论 来 自 世 界 的 任何 地 方 , 在 任何 时 候 , 他 (她 ) 都 可 以 参加 ,互联 网 永远 不 会 关闭 。 而 且 ,无论 
是 谁 ,永远 是 受 欢 迎 的 ,不 会 由 于 不 同 的 肤色 ,不同 的 穿戴 .不同 的 宗教 信仰 而 被 排挤 在 外 。 
在 当今 的 世界 里 ,唯一 没有 国界 ,没有 歧视 .没有 政治 的 生活 圈 属 于 互联 网 。 通 过 网 络 信息 
的 传播 ,全 世界 任何 人 ,不 分 国籍 种族 性别 \ 年 龄 、 贫 富 ,互相 传送 经 验 与 知识 ,发 表意 见 和 
见解 。 

互联 网 是 人 类 历史 发 展 中 的 一 个 伟大 的 里 程 碑 , 它 正在 对 人 类 社会 的 文明 悄悄 地 起 着 
越 来 越 大 的 作用 。 也 许 会 像 瓦 特 发 明 的 蒸汽 机 导致 了 一 场 工业 革命 一 样 ,互联 网 将 会 极 大 
地 促进 人 类 社会 的 进步 和 发 展 。 


1.1.3 互联 网 网 民 规 模 


截至 2008 年 6 月 底 , 中 国 网 民 数量 达到 2. 53 亿 , 网 民 规 模 跃 居 世 界 第 一 位 ,如 图 1.1 
所 示 ,但 是 互联 网 的 普及 率 只 有 19. 1% ,仍然 低 于 全 球 平均 水 平 (21. 1%)。 中 国 网 站 数量 
为 191. 9 万 个 ,年 增长 率 为 46.3%。 其 中 CN 下 的 网 站 数 为 137 万 , 占 总 网 站 数 的 71. 4%。 
网 上 银行 使 用 率 为 23. 4% ,用 户 增长 率 较 快 ,半年 用 户 增长 率 达 到 47. 1% 。 但 使 用 率 远 低 
于 美国 网 民 53% 的 使 用 率 , 也 低 于 韩国 网 民 39. 1% 的 使 用 率 。 网 上 炒股 /基金 使 用 率 为 
16.9%, 网 上 炒股 /基金 的 使 用 率 与 中 国 的 股市 同步 波动 ,使 用 率 在 下 降 , 总 体 用 户 量 略 涨 了 
466 万 。 目 前 中 国 网 民 的 使 用 率 仍 高 于 韩国 网 民 的 5. 4% ,也 高 于 美国 网 民 的 11% 

目前 中 国 网 民 中 接 入 宽带 比例 为 84. 7% ,宽带 网 民 数 已 达到 2. 14 亿 人 。 中 国 的 手机 
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图 1.1 中 国 互联 网 网 民 人 数 ( 百 万 ) 


上 网 网 民 数 已 达到 7305 万 人 。 在 2. 53 亿 网 民 中 ,半年 内 有 过 用 手机 接 人 互联 网 行为 的 网 
民 比 例 达 到 28. 9%。 手 机 上 网 以 其 特有 的 便捷 性 ,在 中 国 发 展 迅 速 。 手 机 上 网 的 发 展 ,使 
得 网 民 的 上 网 选择 更 加 丰富 ,手机 上 网 情况 的 变化 也 从 一 个 侧面 反映 了 网 民 上 网 条 件 的 
变化 。 


1.2 网 络 安全 介绍 


1.2.1 网 络 安 全 吗 


这 是 大 多 数 人 本 来 就 有 的 疑问 ,现在 它 被 媒体 效应 放大 了 ,而 且 是 否定 的 信息 大 过 正 
面 。 现 在 这 个 问题 变 成 : 网 络 那么 不 安全 吗 ? 

根据 Nielsen//Net-Ratings 公布 的 最 新 全 球 网 际 网 络 指数 显示 ,亚太 区 的 网 络 活动 带 
动 全 球 网 际 网 络 的 成 长 。 以 区 域 计算 ,亚太 地 区 的 网 际 网 络 使 用 者 之 浏览 页 数 为 全 球 之 冠 。 
既然 人 们 一 天 用 在 网 络 上 的 时 间 这 么 入, 而且 还 时 常 必须 利用 它 来 传递 个 人 或 公司 的 重要 
信息 (例如 把 写 好 的 新 产品 上 市 计划 书 传 给 项 目 小 组 成 员 ) ,处 理 与 个 人 金钱 有 关 的 交易 ( 例 
如 在 网 络 书 店 购书 或 进入 网 络 银行 进行 转账 ) ,那么 网 络 的 安全 问题 更 是 每 一 个 人 所 必须 要 
重视 的 议题 。 

网 络 安全 涉及 上 至 国家 安全 下 至 普通 百姓 的 计算 机 数据 的 保护 ,因此 网 络 安全 防范 将 
会 是 每 一 个 网 络 系统 设计 人 员 和 管理 人 员 的 重要 任务 或 职责 。 


1.2.2 网 络 为 什么 不 安全 


要 了 解 网 络 安全 ,必须 要 先 了 解 网 络 为 什么 不 安全 。 基 本 上 ,不 同 的 人 对 网 络 安全 的 定 
义 不 同 ,一 般 上 网 的 使 用 者 关心 的 是 连 上 任何 一 台 服 务 器 时 ,客户 端的 计算 机 会 不 会 被 入侵 
或 是 资料 被 窃取 的 问题 ; 而 网 站 管理 员 则 是 集中 精力 在 处 理 服务 器 端的 网 络 安全 问题 ,如 
何 避 免 或 延缓 不 良 骇 客 的 阻 断 攻击 行为 或 是 如 何 保护 网 站 使 用 者 资料 不 被 窃取 ; 进行 信息 
流通 的 企业 以 及 经 营 电子 商店 的 企业 和 上 网 消费 的 使 用 者 所 关心 的 , 则 是 如 何 有 效 运用 安 
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全 的 交易 平台 与 加 密 解 密 技 术 , 来 避免 文件 资料 被 窃取 以 及 网 络 诈 欺 等 行为 的 发 生 。 

概括 来 说 ,造成 网 络 不 安全 的 主要 原因 可 以 分 为 三 大 类 。 

1. 软件 本 身 设计 不 良 或 系统 设计 上 的 缺陷 

软件 本 身 设计 不 良 , 也 就 是 俗称 的 软件 有 漏洞 ,例如 使 用 Internet Explorer 5. 0, 因 为 其 
本 身 设计 上 的 朴 失 ,使 得 别人 很 容易 就 可 以 取得 一 些 关 于 使 用 者 的 重要 信息 。 这 也 就 是 为 
什么 常会 在 Microsoft Windows Update 网 站 上 看 到 某 某 软件 的 修正 程序 (也 就 是 俗称 的 
Patch 档 ) ,或 是 像 Windows NT Server 常常 会 推出 所 谓 的 Service Pack 的 原因 。 利 用 这 些 
漏洞 ,要 在 网 站 内 窃取 资料 或 是 植 人 后 门 程序 等 ,都 不 是 很 困难 的 事 。 

系统 设计 上 的 缺陷 。 应 用 程序 或 系统 毕竟 是 人 写 出 来 的 ,所 谓 智者 千 虑 , 必 有 一 失 , 软 
件 设计 师 想 的 再 严密 ,系统 管理 再 严谨 ,实际 应 用 在 充满 陷阱 和 恶意 人 侵 的 互联 网 上 时 , 仍 
难免 会 有 让 骇 客 有 机 可 乘 的 空隙 。 因 此 ,在 架设 时 要 特别 针对 这 些 地 方 做 补 强 ,并 配合 其 他 
防护 措施 ,以 确保 网 络 的 安全 性 。 

Active X 带 来 的 缺陷 。Active X 控件 是 一 种 内 散在 Web 网 页 的 组 件 , 当 使 用 者 浏览 网 
页 时 便 会 被 激活 。 在 许多 情况 中 ,可 将 Web 浏览 器 的 浏览 器 安全 设 定 设 成 “高 ”, 来 停止 执 
行 这 些 Active X 控件 。 不 过 , 骇 客 或 病毒 制造 者 以 及 其 他 恶意 人 士 可 能 会 使 用 Active X 恶 
意 程序 代码 当 作 武器 来 攻击 计算 机 。 

2. 使 用 者 的 习惯 及 方法 不 正确 

谨慎 设 定 管理 员 密码 。 很 多 网 管 人 员 在 设 定 UNIX 中 的 root 与 Windows Server 中 的 
administrator 的 密码 时 ,通常 采取 不 设 密码 或 用 很 简单 .很 好 记 的 密码 , 像 是 abc、123 或 是 
公司 名 称 等 ,这 使 得 保护 系统 的 第 一 层 使 用 者 认证 ,有 跟 没 有 一 样 ; 而 系统 管理 者 的 读 写 权 
限 又 较 一 般 使 用 者 大 ,一 旦 被 入 侵 后 果 不 堪 设想 。 很 多 人 习惯 将 账号 或 密码 写 在 便利 贴 上 ， 
贴 在 计算 机 屏幕 上 ,或 轻易 地 把 账号 与 密码 告知 他 人 ,这 就 跟 把 家 里 钥匙 挂 在 家 门 上 一 样 ! 
别 忘 了 ,隐患 可 能 就 在 自己 身边 ! 计算 机 入 侵 者 很 有 可 能 便 是 身边 的 熟人 。 

勿 轻易 开启 来 历 不 明 的 档案 。 有 的 用 户 收 到 来 历 不 明 的 人 寄 的 信件 附件 ,也 不 管 是 什 
么 就 打开 。 有 些 附 件 是 计算 机 病毒 的 隐身 ,一 旦 执行 ,重要 档案 便 被 杀 个 精光 。 有 时 则 是 档 
案 本 身 藏 有 特洛伊 木马 程序 , 当 使 用 者 正在 观看 很 有 趣 的 动画 时 ,入 侵 者 早已 将 一 只 木马 程 
序 轻 轻松 松 地 放 进 入 侵 的 系统 中 , 透 过 这 个 程序 便 可 以 从 远程 掌控 入 侵 的 计算 机 ,只 要 联机 
在 网 络 上 , 骇 客 便 随 时 可 以 把 联网 系统 中 重要 的 信息 窃取 到 他 的 硬盘 里 。 

3. 网 络 防护 不 够 严谨 

除了 互联 网 与 计算 机 系统 本 身 的 安全 威胁 外 ,经 营 者 对 互联 网 认识 的 不 足 往往 也 会 让 
系统 出 现 安全 漏洞 而 不 知觉 。 比 如 在 公司 的 网 站 和 内 部 网 络 间 没有 架设 防火 墙 ,或 是 企业 
经 营 者 由 于 不 了 解 网 络 技术 ,听信 网 络 供 货 商 的 建议 ,认为 只 要 装 设防 火 墙 便 可 安全 无 忧 ， 
那么 就 有 可 能 忽略 其 他 安全 上 的 问题 。 

事实 上 ,防火墙 对 于 单纯 的 网 络 安全 应 用 或 许 足 够 ,但 并 非 绝对 安全 ,尤其 是 当 网 站 服 
务 越 来 越 多 时 ,必须 与 内 部 营运 系统 连接 ,否则 将 导致 门户 大 开 , 安 全 漏洞 也 将 接 哑 而 至 。 
另外 ,在 Windows 操作 平台 上 作 资 源 共 享 的 密码 认证 与 存 取 权限 过 于 宽松 ,任何 人 都 可 以 
通过 “网 络 邻居 ?找到 设置 共享 的 PC, 进 而 任意 读 写 别人 的 共享 磁盘 。 

上 面 三 大 类 情况 ,每 一 种 都 有 可 能 是 系统 被 人 侵 或 资料 被 盗 取 的 原因 。 预 防 胜 于 治 
疗 , 读 者 应 该 立即 排查 是 否 犯 了 上 面 任何 一 项 大 鼠 , 对 症 下 药 , 彻 底 防 堵 所 有 可 能 的 安全 


死角 。 
1.2.3 网 络 安 全 防范 


在 了 解 了 造成 网 络 不 安全 的 几 个 原因 后 , 便 可 针对 这 些 原因 来 做 防范 ,使 风险 与 威胁 降 
到 最 低 。 一 个 完整 的 网 络 安全 架构 必须 能 针对 企业 可 能 会 遇 到 的 威胁 做 好 万 全 的 准备 。 
IT 人 员 如 能 了 解 这 些 威胁 , 即 可 对 该 在 何 处 ` 以 何 种 方法 配置 ,以 使 网 络 危害 降低 作出 更 周 
详 的 决定 。 

完整 的 网 络 安全 架构 应 依 不 同 的 网 络 功能 需求 形成 决策 来 执行 。 在 网 络 设计 过 程 中 ， 
可 能 需要 选择 具有 整合 功能 或 是 特殊 功能 的 网 络 设备 。 整 合 功能 的 设备 通常 较 易 被 采用 ， 
因为 可 于 现 有 的 架构 上 执行 ,或 是 因为 能 与 其 他 设备 配合 运作 ,从 而 提供 更 好 的 解决 方案 。 
特殊 设备 通常 是 对 功能 的 先进 性 要 求 比较 高 ,或 是 需要 达到 特定 的 效能 表现 。 决 策 时 必须 
依据 所 提供 的 功能 性 或 整合 性 ,选择 较 适当 的 设备 。 

以 下 介绍 几 个 构建 网 络 安全 架构 体系 的 要 项 。 

1. 明确 网 络 资源 

网 络 安全 方面 常见 的 一 个 问题 就 是 网 络 管理 员 不 能 得 到 一 个 关于 网 络 的 全 面 架构 图 ， 
特别 是 随 着 网 络 的 不 断 增 长 和 变化 ,掌握 网 络 完全 情况 就 更 加 困难 ,因而 给 网 络 管理 员 提 供 
一 个 清晰 的 网 络 监控 图 是 十 分 重要 的 。 通 过 这 个 网 络 结构 图 ,可 以 清楚 地 辨识 每 个 使 用 者 
在 网 络 上 的 身份 .地 位 、 权限、 位置 和 所 处 的 部 门 , 并 可 以 清楚 看 出 他 与 整个 网 络 的 对 应 

2. 确定 网 络 存 取 点 

网 络 管理 员 应 当 了 解 潜在 的 非法 入 侵 者 会 在 何 时 、 何 地 ,以 何 身份 进入 系统 。 骇 客 和 非 
法 入 侵 者 通常 是 通过 网 络 连 接 、 拨 号 存 取 以 及 配置 不 当 的 主机 来 和 人 侵 系 统 。 基 于 网 络 域 的 
安全 解决 方案 ,无 论 用 户 在 网 络 的 哪个 地 方 都 可 辨别 他 的 身份 。 

3. 限定 存 取 权限 

制定 用 户 存 取 的 范围 (权限 ) ,约束 用 户 的 存 取 权 限 ,在 网 络 中 必须 构筑 多 道 屏障 (包括 
来 自 内 部 的 越权 存 取 者 ) ,使 得 非法 入 侵 者 不 能 自动 进入 整个 系统 ,特别 要 注意 对 于 网 络 中 
关键 数据 库 或 敏感 地 区 的 防范 。 

4. 确认 安全 防范 

每 个 安全 系统 都 有 一 定 的 设想 和 安全 防范 措施 ,在 网 络 管理 中 必须 认真 地 检查 和 确认 
安全 ,和 否则 隐藏 的 问题 就 会 成 系统 潜在 的 安全 漏洞 。 必 要 时 设立 网 络 监控 软件 24 小 时 全 天 
候 动 态 监测 ,以 确保 网 络 的 安全 。 

5. 内 部 的 安全 问题 

根据 互联 网 计算 机 安全 联盟 的 报告 ,有 80% 的 非法 入 侵 事 件 来 自 于 防火 墙 内 部 ,这 主 
要 是 因为 目前 提供 的 一 些 内 部 保护 措施 比较 单一 。 

6. 公 铀 验证 

目录 服务 除了 作为 网 络 资源 的 存 置 所 外 ,此 目录 服务 一 方面 必须 能 作为 钥匙 的 存盘 库 ， 
另 一 方面 还 必须 提供 在 此 目录 中 的 对 象 之 间 互 相 验 证 的 功能 ; 而 在 公 钥 验证 系统 中 很 重要 
的 公 钥 可 放 在 目录 内 供 人 拿 来 作为 加 密 及 验证 收发 双方 身份 的 真 伪 。 
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7. 单一 登录 

网 络 管理 员 可 以 从 一 个 集中 点 实现 对 整个 网 络 的 存 取 和 安全 控制 ,这 样 ,他 们 就 可 以 管 
理 更 多 的 资源 ,从 而 达到 提高 生产 效率 、 降 低 管理 成 本 的 目的 。 透 过 网 络 域 服务 器 进行 安全 
管理 ,不 仅 具 有 良好 的 伸缩 性 ,而 且 允 许 管理 员 通 过 某 些 可 控 的 安全 方式 ,将 某 些 存 取 管理 
的 职责 予以 下 放 。 单 一 登录 也 就 意味 着 用 户 只 需 记 住 一 个 密码 ,从 而 ,能 够 很 快 地 获得 其 所 
需要 的 资源 ,并 提高 生产 效率 。 基 于 网 络 域 服 务 器 的 验证 比 传 统 的 TCP/IP 安全 机 制 安全 
得 多 。TCP/IP 的 安全 性 较 弱 ,主要 是 因为 它 是 基于 IP 地 址 或 网 址 的 ,而 不 是 基于 用 户 本 
身 的 。 

但 是 ,尽管 各 类 防毒 软件 .防火 墙 与 内 容 过 滤 技 术 可 协助 我 们 监视 外 来 威胁 , 却 无 法 防 
止 人 为 造成 的 安全 漏洞 而 危及 网 络 安全 ,所 以 ,除了 设备 的 选择 外 ,还 需 注意 人 为 安全 漏洞 
的 防范 。 以 下 介绍 几 个 防止 人 为 安全 漏洞 的 步骤 : 

(1) 设立 互联 网 使 用 规范 。 明 确 的 互联 网 规范 ,可 提高 IT 人 员 设 定 与 监视 网 络 安全 的 
效率 。 

(2) 扫描 邮件 是 否 含有 不 适当 的 内 容 , 并 记录 违反 管制 规定 的 行为 。 

(3) 教育 训练 。 教 导 用 户 如 何 下 载 最 新 的 防毒 更 新 资料 .如 何 辨认 计算 机 是 否 可 能 中 
毒 . 教 导 在 开启 档案 之 前 先 扫描 档案 是 否 有 病毒 。 

(4) 修补 软件 漏洞 ,降低 病毒 透 过 网 页 或 电子 邮件 渗入 的 机 会 。 

(5) 经 常 更 换 密码 ,教育 用 户 防范 社交 欺骗 手段 ,要 求 无 论 如 何 都 不 可 交 出 密码 。 

预防 更 胜 于 治疗 。 造 成 网 络 不 安全 的 原因 非常 多 ,人 们 无 法 得 知 全 部 ,但 却 可 以 透 过 许 
多 方式 (例如 安装 防毒 软件 .防火 墙 及 个 人 习惯 的 改变 ) ,来 使 风险 与 威胁 降 到 最 低 。 而 其 中 
最 难 防 范 的 莫 过 于 人 为 的 疏忽 ,而 导致 人 为 疏忽 最 重要 的 原因 即 为 专业 知识 的 不 足 。 所 以 ， 
更 应 该 随时 对 用 户 进行 教育 训练 ,以 使 网 络 安全 的 风险 及 威胁 降 到 最 低 。 


1.3 十 大 威胁 企业 安全 的 网 络 危险 行为 


据 国 外 媒体 报道 ,对 于 一 家 企业 而 言 ,雇员 是 必 不 可 少 的 。 但 同时 ,雇员 也 是 企业 计算 
基础 设施 安全 的 最 大 威胁 。 因 为 大 多 数 雇员 对 其 在 线 行为 的 危险 性 不 以 为 然 。 

无 论 对 雇员 进行 多 少 次 的 安全 知识 培训 ,无 论 雇 员 上 了 多 少 堂 课 , 大 多 数 公司 网 管 仍 然 
对 企业 内 网 的 安全 感到 无 助 和 绝望 。 因 为 终端 用 户 总 是 禁不住 各 种 病毒 附件 的 “诱惑 ”, 为 
了 获取 浏览 速度 ,雇员 不 惜 关 闭 防火 墙 或 者 将 登录 密码 保存 在 计算 机 中 。 

为 了 确保 企业 网 络 安全 ,这 里 列 出 了 “10 种 最 危险 的 网 络 行为 ”, 希 望 能 够 引 以 为 戒 。 
十 大 网 络 危险 行为 如 下 : 

(1) 浏览 不 明 邮 件 附 件 ; 

(2) 安装 未 授权 应 用 ; 

(3) 关闭 或 禁用 安全 工具 ; 

(4) 浏览 不 明 HTML 或 文本 消息 ; 

(5) 浏览 赌博 、 色 情 或 其 他 非法 站 点 ; 

(6) 公开 自己 的 登录 密码 . 令 牌 或 智能 卡 信息 ; 

(7) 重要 的 文档 裸奔 ,没有 加 密 ; 


(8) 随意 访问 未 知 、 不 可 信 站 点 ; 
(9) 随意 填写 Web 脚本 、 表 格 或 注册 页 面 ; 
(10) 频繁 访问 聊天 室 或 社交 站 点 。 


1.4 常用 网 络 密码 安全 保护 技巧 


当前 ,大 部 分 用 户 密码 被 盗 , 多 是 因为 缺少 网 络 安全 保护 意识 以 及 自我 保护 意识 ,以 致 
被 黑客 盗 取 引 起 经 济 损失 。 下 面 将 介绍 针对 十 类 破解 方法 的 对 策 , 举 出 十 类 密码 安全 和 保 
护 技巧 ,希望 可 以 提高 网 络 安全 意识 。 

1. 使 用 复杂 的 密码 

密码 穷 举 对 于 简单 的 长 度 较 少 的 密码 非常 有 效 , 但 是 如 果 网 络 用 户 把 密码 设 的 较 长 一 
些 而 且 没 有 明显 规律 特征 (如 用 一 些 特殊 字符 和 数字 字母 组 合 ) ,那么 穷 举 破解 工具 的 破解 
过 程 就 变 得 非常 困难 ,破解 者 往往 会 对 长 时 间 的 穷 举 失去 耐性 。 通 常 认 为 ,密码 长 度 应 该 至 
少 大 于 6 位 ,最 好 大 于 8 位 ,密码 中 最 好 包含 字母 数字 和 符号 ,不 要 使 用 纯 数字 的 密码 ,不 要 
使 用 常用 英文 单词 的 组 合 ,不 要 使 用 自己 的 姓名 作为 密码 ,不 要 使 用 生日 作为 密码 。 

2. 使 用 软 键 盘 

对 付 击 键 记录 ,目前 有 一 种 比较 普遍 的 方法 就 是 通过 软 键盘 输入 。 软 键盘 也 叫 虚拟 键 
盘 , 用 户 在 输入 密码 时 , 先 打开 软 键盘 ,然后 用 鼠标 选择 相应 的 字母 输入 ,这样 就 可 以 避免 木 
马 记录 击 键 ; 另外 ,为 了 更 进一步 保护 密码 ,用户 还 可 以 打 乱 输入 密码 的 顺序 ,这 样 就 进 一 
步 增加 了 黑客 破解 密码 的 难度 。 

3. 使 用 动态 密码 (一 次 性 密码 ) 

动态 密码 (dynamic password) 指 用 户 的 密码 按照 时 间或 使 用 次 数 不 断 动态 变化 ,每 个 
密码 只 使 用 一 次 。 动 态 密码 对 于 截屏 破解 非常 有 效 , 因 为 即使 截屏 破解 了 密码 ,也 仅仅 破解 
了 一 个 密码 ,下 一 次 登录 不 会 再 使 用 这 个 密码 。 但 鉴于 成 本 问题 ,目前 大 多 数 动态 密码 卡 都 
是 刮 纸 片 的 那 种 原始 的 密码 卡 , 而 不 是 真正 意义 上 的 一 次 性 动态 密码 ,其 安全 性 还 是 难以 
保证 。 真 正 的 动态 密码 锁 采 用 一 种 称 为 动态 令 牌 的 专用 硬件 ,内 置 电 源 、 密 码 生成 芯片 
和 显示 屏 。 其 中 数字 键 用 于 输入 用 户 PIN 码 , 显 示 屏 用 于 显示 一 次 性 密码 。 每 次 输入 正 
确 的 PIN 码 ,都 可 以 得 到 一 个 当前 可 用 的 一 次 性 动态 密码 。 由 于 每 次 使 用 的 密码 必须 由 
动态 令 牌 来 产生 ,而 用 户 每 次 使 用 的 密码 都 不 相同 ,因此 黑客 很 难 计 算出 下 一 次 出 现 的 
动态 密码 。 真 正 的 动态 密码 卡 成 本 通常 为 100 一 200 元 , 较 高 的 成 本 限制 了 其 大 规模 的 
使 用 。 

4. 网 络 钓鱼 的 防范 

防范 钓鱼 网 站 的 方法 ,首先 要 提高 警惕 .不 登录 不 熟悉 的 网 站 ,不 要 打开 陌生 人 的 电子 
邮件 ,安装 杀毒 软件 并 及 时 升级 病毒 知识 库 和 操作 系统 补丁 。 使 用 安全 的 邮件 系统 ,发 送 重 
要 邮件 要 加 密 , 将 钓鱼 邮件 归 为 垃圾 邮件 。IE 7 和 FireFox 有 网 页 防 钓 鱼 的 功能 ,访问 钓鱼 
网 站 会 有 提示 信息 。 

5. 使 用 SSL 防范 Sniffer 

传统 的 网 络 服务 程序 HTTP、FTP、SMTP、POP3 和 Telnet 等 在 本 质 上 都 是 不 安全 的 ， 
因为 它们 在 网 络 上 用 明文 传送 口令 和 数据 ,Sniffer( 网 络 嗅 探 器 ) 非 常 容易 截获 这 些 口 令 和 
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数据 。 对 于 Sniffer, 可 以 采用 会 话 加 密 的 方案 ,把 所 有 传输 的 数据 进行 加 密 ,这 样 Sniffer 即 
使 嗅 探 到 了 数据 ,这 些 加 密 的 数据 也 是 难以 解密 还 原 的 。 目 前 广泛 应 用 的 是 SSL (Secure 
Socket Layer) ,可 以 方便 、 安 全 地 实现 加 密 数据 包 传 输 。 当 用 户 输入 口令 时 应 该 使 用 支持 
SSL 协议 的 方式 进行 登录 ,例如 HTTPS、SFTP、SSH ,而 不 是 使 用 HTTP、FTP、POP、 
SMTP TELNET 等 协议 ,以 防止 Sniffer 的 监听 。SSL 的 安全 验证 可 以 在 不 安全 的 网 络 中 
进行 安全 的 通信 。 

6. 尽量 不 要 将 密码 保存 在 本 地 

将 密码 保存 在 本 地 是 个 不 好 的 习惯 ,很 多 应 用 软件 (例如 某 些 FTP 等 ) 保 存 的 密码 并 没 
有 设计 得 非常 安全 ,如 果 本 地 没有 一 个 很 好 的 加 密 策略 , 那 将 给 黑客 破解 密码 大 开 方 便 
tl; 

7. 使 用 USB Key 

USB Key 是 一 种 USB 接口 的 硬件 设备 , 它 内 置 单片机 或 智能 卡 芯片 ,有 一 定 的 存储 空 
间 ,可 以 存储 用 户 的 私 钥 以 及 数字 证 书 。 利 用 USB Key 内 置 的 公 钥 算法 可 实现 对 用 户 身份 
的 认证 。 由 于 用 户 私 钥 保 存在 密码 锁 中 ,理论 上 使 用 任何 方式 都 无 法 读 取 ,因此 保证 了 用 户 
认证 的 安全 性 。 

8. 个 人 密码 管理 

要 保持 严格 的 密码 管理 观念 ,实施 定期 更 换 密码 ,可 每 月 或 每 季 更 换 一 次 。 永 远 不 
要 将 密码 写 在 纸 上 ,不 要 使 用 容易 被 别人 猜 到 的 密码 。 对 一 些 比较 难 记 的 密码 要 做 存储 
并 加 密 , 加 密 后 的 文件 即使 被 盗 ,或 者 无 意 中 在 网 络 中 散布 ,也 不 会 导致 自己 的 重要 信息 
泄露 出 去 。 

9.， 密码 分 级 

对 于 不 同 的 网 络 系统 使 用 不 同 的 密码 ,对 于 重要 的 系统 使 用 更 为 安全 的 密码 。 绝 对 不 
要 所 有 系统 使 用 同一 个 密码 。 对 于 那些 偶尔 登录 的 论坛 ,可 以 设置 简单 的 密码 ; 对 于 重要 
的 信息 .电子 邮件 .网 上 银行 之 类 ,必需 设置 为 复杂 的 密码 。 永 远 也 不 要 把 论坛 .电子 邮箱 和 
银行 账户 设置 成 同一 个 密码 。 

10. 生物 特征 识别 

生物 特征 识别 技术 指 通过 计算 机 ,利用 人 体 所 固有 的 生理 特征 或 行为 特征 来 进行 个 人 
身份 鉴定 。 常 用 的 生物 特征 包括 指纹 、 掌 纹 、 虹 膜 、 声 音 、 笔 迹 、 脸 像 等 。 生 物 特征 识别 是 一 
种 简单 可 靠 的 生物 密码 技术 ,生物 识别 技术 认定 的 是 人 本 身 , 由 于 每 个 人 的 生物 特征 具有 与 
其 他 人 不 同 的 唯一 性 ,以 及 在 一 定时 期 内 不 变 的 稳定 性 ,不 易 被 伪造 和 假冒 ,因此 ,可 以 最 大 
限度 地 保证 个 人 资料 的 安全 。 目 前 人 体 特征 识别 技术 市 场 上 占有 率 最 高 的 是 指纹 机 和 手 形 
机 ,这 两 种 识别 方式 也 是 目前 技术 发 展 中 最 成 熟 的 。 


1.5 威胁 网 络 安全 的 因素 


1.5.1 时 务 


黑客 (Hacker) 的 定义 是 :喜欢 探索 软件 程序 奥秘 并 从 中 增长 其 个 人 才干 的 人 。 他 们 
不 像 绝 大 多 数 计算 机 使 用 者 ,只 规 规矩 矩 地 了 解 别 人 指定 了 解 的 范围 狭小 的 部 分 知识 ”。 


“黑客 ”大 都 是 程序 员 ,他 们 对 于 操作 系统 和 编程 语言 有 着 深刻 的 认识 ,乐于 探索 操作 系 
统 的 奥秘 且 善于 通过 探索 了 解 系统 中 的 漏洞 及 其 原因 所 在 ,他 们 恪守 这 样 一 条 准则 : Never 
damage any system( 永 不 破坏 任何 系统 )。 他 们 近乎 疯狂 地 钻研 更 深入 的 计算 机 系统 知识 
并 乐于 与 他 人 共享 成 果 。 他 们 一 度 是 计算 机 发 展 史 上 的 英雄 ,为 推动 计算 机 的 发 展 起 了 重 
要 的 作用 。 在 网 络 刚 兴 起 的 时 候 , 从 事 黑客 活动 ,就 意味 着 对 计算 机 的 潜力 进行 智力 上 最 大 
程度 的 发 据 。 国 际 上 的 著名 黑客 均 强 烈 支持 信息 共享 论 ,认为 信息 ,技术 和 知识 都 应 当 被 所 
有 人 共享 ,而 不 能 为 少数 人 所 垄断 。 大 多 数 黑客 都 具有 反 社 会 或 反 传统 的 色彩 ,同时 , 男 外 
一 个 特征 是 十 分 重视 团队 的 合作 精神 。 

显然 ,“ 黑 客 ”一 词 原来 并 没有 丝毫 的 贬义 成 分 。 直 到 后 来 ,少数 怀 着 不 良 企图 ,利用 非 
法 手段 获得 系统 访问 权 去 问 入 远程 机 器 系统 ,破坏 重要 数据 ,或 为 了 自己 的 私利 而 制造 麻 
烦 、 具 有 恶意 行为 特征 的 人 (他 们 其 实 是 骇 客 一 一 Crack) 慢 慢 焉 污 了 “黑客 "的 名 声 , “黑客 ” 
才 逐 渐 演 变 成 人 侵 者 、 破 坏 者 的 代名词 。 

“他 们 瞄准 一 人 台 计 算 机 ,对 它 进 行 控制 ,然后 毁坏 它 .” 一 一 这 是 1995 年 美国 拍摄 的 第 一 
部 有 关 黑 客 的 电影 (战争 游戏 ) 中 对 “黑客 "概念 的 描述 。 

虽然 现在 对 黑客 的 准确 定义 仍 有 不 同 的 意见 ,但 是 ,从 信息 安全 这 个 角度 来 说 ,“ 黑 客 ” 
的 普遍 含义 是 特 指 计算 机 系统 的 非法 侵入 者 。 多 数 黑客 都 痴迷 计算 机 ,认为 自己 在 计算 机 
方面 的 天 赋 过 人 ,只 要 自己 愿意 ,就 可 毫 无 顾忌 地 非法 冯 入 某 些 敏感 的 信息 禁区 或 者 重要 网 
站 ,以 窃取 重要 的 信息 资源 、 自 改 网 址 信息 或 者 删除 该 网 址 的 全 部 内 容 等 恶作剧 行为 作为 一 
种 智力 的 挑战 而 自我 陶醉 。 

目前 黑客 已 成 为 一 个 特殊 的 社会 群体 ,在 欧美 有 不 少 完全 合法 的 黑客 组 织 。 黑 客 们 经 
常 召开 黑客 技术 交流 会 ,1997 年 11 月 ,在 纽约 就 召开 了 世界 黑客 大 会 ,与 会 者 达 四 五 千 人 。 
另 一 方面 ,黑客 组 织 在 因特网 上 利用 自己 的 网 站 介绍 黑客 攻击 手段 .免费 提供 各 种 黑客 工具 
软件 .出 版 网 上 黑客 杂志 。 这 使 得 普通 人 也 很 容易 下 载 并 学 会 使 用 一 些 简单 的 黑客 手段 或 
工具 对 网 络 进行 某 种 程度 的 攻击 ,进一步 恶化 了 网 络 安全 环境 。 


1.5.2 黑客 会 做 什么 


很 多 人 会 问 :“ 黑 客 平时 都 做 什么 ? 是 不 是 非常 刺激 ?”" 也 有 人 对 黑客 的 理解 是 “天 天 做 
无 聊 且 重复 的 事情 ”。 实 际 上 这 些 又 是 一 个 错误 的 认识 ,黑客 平时 需要 用 大 量 的 时 间 学 习 ， 
由 于 学 习 完 全 出 于 个 人 爱好 ,所 以 无 所 谓 “ 无 聊 ”; 重复 是 不 可 避免 的 ,因为 “ 熟 能 生 巧 ”, 只 
有 经 过 不 断 的 练习 、 实 践 , 才 可 能 自己 体会 出 一 些 只 可 意 会 ,不 可 言传 的 心得 。 

在 学 习 之 余 , 黑 客 应 该 将 自己 所 掌握 的 知识 应 用 到 实际 当中 。 无 论 是 哪 种 黑客 做 出 
来 的 事情 ,根本 目的 无 非 是 在 实际 中 掌握 自己 所 学 习 的 内 容 。 黑 客 的 行为 主要 有 以 下 
几 种 。 

1. 学 习 技术 

互联 网 上 的 新 技术 一 旦 出 现 ,黑客 就 必须 立刻 学 习 , 并 用 最 短 的 时 间 掌 握 这 项 技术 。 这 
里 所 说 的 掌握 并 不 是 一 般 的 了 解 ,而 是 阅读 有 关 的 “协议 “深入 了 解 此 技术 ,否则 一 旦 停止 
学 习 , 那 么 依靠 他 以 前 掌握 的 内 容 , 并 不 能 维持 他 的 “黑客 身份 "超过 一 年 。 

初级 黑客 要 学 习 知 识 是 比较 困难 的 ,因为 他 们 没有 基础 ,所 以 学 习 起 来 要 接触 非常 多 的 
基本 内 容 , 然 而 今天 的 互联 网 给 读者 带 来 了 很 多 的 信息 ,这 就 需要 初级 学 习 者 进行 选择 : 太 
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深 的 内 容 可 能 会 给 学 习 带 来 困难 ; 太 “ 花 哨 ” 的 内 容 又 对 学 习 黑 客 没 有 用 处 。 

2. 伪装 自己 

黑客 的 一 举 一 动 都 会 被 服务 器 记录 下 来 ,所 以 黑客 必须 伪装 自己 使 得 对 方 无 法 辨别 其 
真实 身份 ,这 需要 有 熟练 的 技巧 ,用 来 伪装 自己 的 IP 地 址 、 使 用 跳板 逃避 跟踪 、 清 理 记录 扰 
乱 对 方 线索 .巧妙 躲 开 防 火 墙 等 。 

伪装 是 需要 非常 过 硬 的 基本 功 才能 实现 的 ,这 对 于 初学 者 来 说 是 很 困难 的 。 也 就 是 说 ， 
初学 者 不 可 能 用 短 时间 学 会 伪装 ,所 以 不 鼓励 初学 者 利用 自己 所 学 习 的 知识 对 网 络 进行 攻 
击 ,否则 一 旦 自己 的 行 迹 败露 ,最终 受 害 的 是 自己 。 

3. 发 现 漏洞 

漏洞 对 黑客 来 说 是 最 重要 的 信息 ,黑客 要 经 常 学 习 别 人 发 现 的 漏洞 ,努力 寻找 未 知 的 漏 
洞 ,并 从 海量 的 漏洞 中 寻找 有 价值 的 .可 被 利用 的 漏洞 进行 试验 。 当 然 他 们 最 终 的 目的 是 通 
过 漏洞 进行 破坏 或 者 修补 上 这 个 漏洞 。 

黑客 对 寻找 漏洞 的 执著 是 常人 难以 想象 的 ,他 们 的 口号 是 “打破 权威 ”。 在 一 次 又 一 次 
的 黑客 实践 中 ,黑客 用 自己 的 实际 行动 向 世人 印证 了 这 一 点 一 一 世界 上 没有 “不 存在 漏洞 ” 
的 程序 。 在 黑客 眼中 ,所 谓 的 天衣无缝 "不 过 是 “没有 找到 ”而 已 。 

4. 利用 漏洞 

对 于 正派 黑客 来 说 ,漏洞 要 修补 ; 对 于 那 派 黑 客 来 说 ,漏洞 要 用 来 搞 破坏 。 而 他 们 的 基 
本 前 提 是 “利用 漏洞 ,黑客 利用 漏洞 可 以 做 下 面 的 事情 。 

(1) 获得 系统 信息 。 有 些 漏洞 可 以 泄露 系统 信息 ,暴露 敏感 资料 ,从 而 进一步 人 侵 
系统 。 

(2) 入侵 系统 。 通 过 漏洞 进入 系统 内 部 ,取得 服务 器 上 的 内 部 资料 或 完全 掌管 服务 器 。 

(3) 寻找 下 一 个 目标 。 一 个 胜利 意味 着 下 一 个 目标 的 出 现 , 黑 客 会 充分 利用 自己 已 经 
掌管 的 服务 器 作为 工具 ,寻找 并 入 侵 下 一 个 系统 。 

(4) 做 一 些 好 事 。 正 派 黑 客 在 完成 上 面 的 工作 后 ,就 会 修复 漏洞 或 者 通知 系统 管理 员 ， 
做 出 一 些 维护 网 络 安全 的 事情 。 

(5) 做 一 些 坏事 。 收 派 黑 客 在 完成 上 面 的 工作 后 ,会 判断 服务 器 是 否 还 有 利用 价值 。 
如 果 有 利用 价值 ,他 们 会 在 服务 器 上 植 入 木马 或 者 后 门 ,便于 下 一 次 来 访 ; 而 对 没有 利用 价 
值 的 服务 器 他 们 决 不 留情 ,系统 崩溃 会 让 他 们 感到 无 限 的 快感 。 


1.5.3 网 络 攻击 分 类 


攻击 可 被 分 为 两 类 : 主动 攻击 和 被 动 攻击 。 

(1) 主动 攻击 包含 攻击 者 访问 他 所 需 信 息 的 故意 行为 。 比 如 远程 登录 到 指定 机 器 的 
25 端口 找 出 公司 运行 的 邮件 服务 器 的 信息 ; 伪造 无 效 IP 地 址 去 连接 服务 器 ,使 接收 到 错误 
IP 地 址 的 系统 浪费 时 间 去 连接 那个 非法 地 址 。 攻 击 者 是 在 主动 地 做 一 些 不 利于 你 或 你 的 
公司 系统 的 事情 。 正 因为 如 此 ,如 果 要 找到 他 们 是 很 容易 的 。 主 动 攻 击 包 括 拒绝 服务 攻击 、 
信息 算 改 ,资源 使 用 欺骗 等 攻击 方式 。 

(2) 被 动 攻击 主要 是 收集 信息 而 不 是 进行 访问 ,数据 的 合法 用 户 对 这 种 活动 一 点 也 不 
会 觉察 到 。 被 动 攻击 包括 嗅 探 ,信息 收集 等 攻击 方法 。 

这 样 分 类 不 是 说 主动 攻击 不 能 收集 信息 或 被 动 攻击 不 能 被 用 来 访问 系统 。 多 数 情况 


下 ,这 两 种 类 型 被 联合 用 于 入 侵 一 个 站 点 。 但 是 ,大 多 数 被 动 攻击 不 一 定 包 括 可 被 跟踪 的 行 
为 ,因此 更 难 被 发 现 。 

实际 上 ,黑客 实施 一 次 人 侵 行为 ,为 达到 他 的 攻击 目的 会 综合 采用 多 种 攻击 手段 ,在 不 
同 的 入侵 阶段 使 用 不 同 的 方法 。 


1.5.4 常见 网 络 攻击 形式 


虽然 俗话 说 * 树 大 招 风 ”, 但 是 网 络 攻击 中 的 牺牲 者 往往 是 一 些 中 小 型 的 局 域 网 。 因 为 
它们 的 网 络 安全 的 防御 和 反击 能 力 都 相对 较 差 ,故而 在 各 种 “江湖 纷争 "中 ,总 是 成 为 借 刀 杀 
人 中 的 * 人 ”或 “ 刀 ”。 俗 话 又 说 “知己 知 彼 , 百 战 百胜 ”, 这 里 简单 地 列 出 常见 的 攻击 形式 ,如 
图 1.2 所 示 。 


\ / 
信息 泄露 、 
自 改 、 破 坏 拒绝 服务 攻击 
@ 社会 工程 学 
逻辑 炸弹 将 人 
内 部 人 员 威 胁 
系统 Bug 
图 1.2 常见 网 络 攻击 形式 
1. 逻辑 炸弹 


所 谓 “ 人 逻辑 炸弹 ”是 指 在 特定 迎 辑 条 件 满足 时 ,实施 破坏 的 计算 机 程序 。 该 程序 触发 
后 造成 计算 机 数据 丢失 、 计 算 机 不 能 从 硬盘 或 者 软盘 引导 ,甚至 会 使 整个 系统 竣 痪 ,并 出 
现 物理 损坏 的 虚假 现象 。“ 风 辑 炸弹 ?引发 时 的 症状 与 某 些 病毒 的 作用 结果 相似 ,并 会 对 
社会 引发 连带 性 的 灾难 。 与 病毒 相 比 , 它 强调 破坏 作用 本 身 , 而 实施 破坏 的 程序 不 具有 
传染 性 。 逻 辑 炸 弹 作为 一 种 程序 或 任何 部 分 的 程序 存在 ,这 是 冬眠 ,直到 一 个 具体 作品 
的 程序 逻辑 被 激活 。 这 样 的 一 个 逻辑 炸弹 非常 类 似 于 真实 世界 的 地 雷 。 使 用 逻辑 炸弹 
的 一 个 经 典 应 用 是 要 确保 支付 软件 使 用 费用 。 如 果 到 某 一 特定 日 期 仍然 没有 付款 ,逻辑 
炸弹 就 会 激活 ,使 软件 自动 删除 本 身 。 一 种 更 恶意 的 形式 , 即 逻 辑 炸 弹 会 删除 系统 上 的 
其 他 数据 。 

2. 系统 Bug 

Bug 一 词 的 原意 是 “臭虫 ”或 “虫子 ”。 但 是 现在 ,在 计算 机 系统 或 程序 中 ,如 果 隐 藏 着 的 
一 些 未 被 发 现 的 缺陷 或 问题 ,人 们 也 叫 它 Bug。 所 谓 Bug, 是 指 计算 机 系统 的 硬件 、 系 统 软 
件 ( 如 操作 系统 ) 或 应 用 软件 (如 文字 处 理 软 件 ) 出 错 。 硬 件 的 出 错 有 两 个 原因 ,一 是 设计 错 
误 , 一 是 硬件 部 件 老化 失效 等 。 
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程序 中 隐藏 的 功能 缺陷 或 错误 。 由 于 现在 的 软件 复杂 程度 早已 超出 了 一 般 人 能 控制 的 
范围 ,如 Windows 操作 系统 会 不 定期 地 公布 其 中 的 Bug。 这 些 Bug 对 网 络 安全 也 会 造成 重 
大 影响 ,如 何 减 少 以 至 消灭 程序 中 的 Bug, 一 直 是 程序 员 所 极为 重视 的 课题 。 

3. 社会 工程 学 

社会 工程 学 是 通过 自然 的 、 社 会 的 和 制度 上 的 途径 并 特别 强调 根据 现实 的 双向 计划 和 
设计 体会 来 一 步 接 一 步 地 处 理 各 种 社会 问题 的 学 科 。 

黑客 将 社会 工程 定义 为 非 计算 机 Bug, 通 过 对 受害 者 心理 弱点 、 本 能 反应 、 好 奇 心 、 信 
任 、 贪 禁 等 心理 陷阱 进行 诸如 欺骗 ,伤害 等 危害 手段 ,并 最 终 获得 信息 为 最 终 目 的 学 科 , 在 计 
算 机 入 侵 中 此 词 条 被 经 常 使 用 和 广泛 定义 。 

无 论 是 在 物理 上 还 是 在 虚拟 的 电子 信息 上 ,任何 一 个 可 以 访问 系统 某 个 部 分 或 某 种 服 
务 的 人 都 有 可 能 构成 潜在 的 安全 风险 与 威胁 ,任何 细微 的 信息 都 可 能 会 被 社会 工程 学 使 用 
者 当做 “补给 资料 ”来 运用 ,使 其 得 到 其 他 信息 。 这 意味 着 如 果 没 有 把 使 用 者 与 管理 人 员 等 
列 人 到 企业 安全 管理 策略 中 去 ,将 会 对 网 络 系统 构成 很 大 的 安全 “裂缝 ”。 

4. 后 门 和 隐蔽 通道 

事实 上 ,没有 完美 无 缺 的 代码 ,也 许 系统 的 某 处 正 潜伏 着 重大 的 隐蔽 通道 或 者 后 门 等 待 
人 们 的 发 现 , 区 别 只 是 在 于 谁 先 发 现 它 。 只 要 本 着 怀疑 一 切 的 态度 ,从 各 个 方面 检查 所 输入 
信息 的 正确 性 ,还 是 可 以 回避 这 些 缺 陷 的 。 比 如 说 ,如 果 程 序 有 固定 尺寸 的 缓冲 区 ,无 论 是 
什么 类 型 ,一定 要 保证 它 不 溢出 ; 如 果 使 用 动态 内 存 分 配 ,一 定 要 为 内 存 或 文件 系统 的 耗 尽 
做 好 准备 ,并 且 牢记 恢复 策略 可 能 也 需要 内 存 和 磁盘 空间 。 

5. 拒绝 服务 攻击 

拒绝 服务 攻击 即 攻击 者 想 办 法 让 目标 机 器 停止 提供 服务 或 资源 访问 ,是 黑客 常用 的 攻 
击 手段 之 一 。 这 些 资源 包括 磁盘 空间 内存 .进程 甚至 网 络 带宽 ,从 而 阻止 正常 用 户 的 访问 。 
其 实 对 网 络 带宽 进行 的 消耗 性 攻击 只 是 拒绝 服务 攻击 的 一 小 部 分 ,只 要 能 够 对 目标 造成 麻 
烦 , 使 某 些 服 务 被 暂停 甚至 主机 死机 ,都 属于 拒绝 服务 攻击 。 拒 绝 服务 攻击 问题 也 一 直 得 不 
到 合理 的 解决 , 究 其 原因 是 由 于 网 络 协议 本 身 的 安全 缺陷 造成 的 ,由 此 拒绝 服务 攻击 往往 成 
为 攻击 者 的 终极 手法 。 攻 击 者 进行 拒绝 服务 攻击 ,实际 上 是 让 服务 器 实现 两 种 效果 : 一 是 
迫使 服务 器 的 缓冲 区 满 ,不 接收 新 的 请 求 ; 二 是 使 用 IP 欺骗 ,迫使 服务 器 把 合法 用 户 的 连 
接 复位 ,影响 合法 用 户 的 连接 。 

6. 病毒 .蠕虫 和 特洛伊 木马 

随 着 互联 网 的 日 益 流行 ,各 种 病毒 木马 也 猩 铬 起 来 ,几乎 每 天 都 有 新 的 病毒 产生 ,大 肆 
传播 破坏 ,给 广大 互联 网 用 户 造成 了 极 大 的 危害 ,几乎 到 了 令 人 谈 毒 色 变 的 地 步 。 各 种 病 
毒 .蠕虫 .木马 纷 至 霄 来 , 令 人 防不胜防 ,苦恼 无 比 。 

病毒 .蠕虫 和 特洛伊 木马 是 导致 计算 机 系统 和 计算 机 上 的 信息 损坏 的 恶意 程序 。 它 们 
使 网 络 和 操作 系统 速度 变 慢 ,危害 严重 时 甚至 会 完全 破坏 整个 系统 。 它 们 还 可 使 感染 广 为 
传播 ,在 更 大 范围 内 造成 危害 。 这 三 种 东西 都 是 人 为 编制 出 的 恶意 代码 ,都 会 对 用 户 造成 危 
害 , 人 们 往往 将 它们 统称 作 病毒 ,但 其 实 这 种 称 法 并 不 准确 ,它们 之 间 虽 然 有 着 共性 ,但 也 有 
着 很 大 的 差别 。 详 细 内 容 见 本 书 的 第 5 章 。 

当然 还 有 其 他 攻击 方式 ,在 这 里 不 能 一 一 列举 ,总 而 言 之 : 网 络 之 路 , 步 步 凶 险 。 


1.6 网 络 安全 的 目标 


1.6.1 第 38 届 世界 电信 和 目 主 题 


让 全 球 网 络 更 安全 (Promoting Global Cyber security) 。 

在 一 个 日 益 网 络 化 的 社会 ,保证 网 络 以 及 信息 通信 技术 系统 和 基础 设施 的 安全 ,已 成 为 
当务之急 。 因 此 ,必须 树立 对 网 上 交易 .电子 商务 .电子 银行 .远程 医疗 .电子 政务 和 一 系列 
其 他 应 用 的 信心 。 这 对 于 全 球 经 济 社会 的 未 来 发 展 至 关 重 要 。 

实现 网 络 安全 取决 于 每 个 联网 国家 企业 和 公民 采取 的 安全 措施 。 为 防范 高 技能 的 网 
络 犯 罪 分 子 , 必 须 培育 全 球 网 络 安全 文化 。 这 不 仅 需要 良好 的 监管 和 立法 ,还 需要 敏 于 察觉 
威胁 ,并 制定 出 基于 信息 通信 技术 的 严厉 对 策 。 


1.6.2 我 国 网 络 安全 的 战略 目标 


提升 网 络 普及 水 平 、 信 息 资源 开发 利用 水 平和 信息 安全 保障 水 平 。 抓 住 网 络 技术 转型 
的 机 遇 , 基 本 建成 国际 领先 多 网 融合 .安全 可 靠 的 综合 信息 基础 设施 。 信 息 安 全 的 长 效 机 
制 基本 形成 ,国家 信息 安全 保障 体系 较为 完善 ,信息 安全 保障 能 力 显著 增强 。 这 就 是 我 国 网 
络 安全 的 战略 目标 ,参见 (2006 一 2020 年 国家 信息 化 发 展 战略 》。 
1.6.3 网 络 安全 的 主要 目标 


通俗 地 说 ,网 络 安全 的 主要 目标 是 保护 网 络 信息 系统 ,使 其 没有 危险 ,不 受 威胁 ,不 出 事 
故 。 在 这 里 ,用 五 个 通俗 的 说 法 来 形象 地 描绘 网 络 安全 的 目标 ,如 图 1. 3 所 示 。 


进 不 来 看 不 仪 。。 改 不 了 ” 拿 丰 走 。”” 跑 不 掉 
可 用 性 机 密 性 完整 性 不 可 抵赖 性 
= 


图 1.3 网 络 安全 的 主要 目标 


可 将 上 述说 法 归纳 总 结 为 以 下 四 个 方面 。 

1. 可 用 性 

可 用 性 指 信息 或 者 信息 系统 可 被 合法 用 户 访问 ,并 按 其 要 求 运 行 的 特性 。 

如 图 1. 3 所 示 ,“ 进 不 来 "“ 改 不 了 ”和 *“ 拿 不 走 ” 都 实现 了 信息 系统 的 可 用 性 。 

人 们 通常 采用 一 些 技 术 措 施 或 网 络 安 全 设备 来 实现 这 些 目 标 。 例 如 ,使 用 防火 墙 , 把 攻 
击 者 阻挡 在 网 络 外 部 ,让 他 们 “ 进 不 来 "。 即 使 攻击 者 进入 了 网 络 内 部 ,由 于 有 加 密 机 制 , 会 
使 他 们 “ 改 不 了 ”和 “ 拿 不 走 ” 关 键 信息 和 资源 。 
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2. 机 密 性 

机 密 性 将 对 敏感 数据 的 访问 权限 制 在 那些 经 授权 的 个 人 ,只 有 他 们 才能 查看 数据 。 机 
密 性 可 防止 向 未 经 授权 的 个 人 泄露 信息 ,或 防止 信息 被 加 工 。 

如 图 1. 3 所 示 ,“ 进 不 来 "和 “看 不 懂 ” 都 实现 了 信息 系统 的 机 密 性 。 

人 们 使 用 口令 对 进入 系统 的 用 户 进 行 身份 鉴别 ,非法 用 户 没有 口令 就 “ 进 不 来 ”, 这 就 保 
证 了 信息 系统 的 机 密 性 。 即 使 攻击 者 破解 了 口令 进入 系统 ,加 密 机 制 也 会 使 得 他 们 “看 不 
懂 ” 关 键 信息 。 例 如 , 甲 给 乙 发 送 加 密 文件 ,只 有 乙 通 过 解密 才能 读 懂 其 内 容 , 其 他 人 看 到 的 
是 乱码 。 由 此 便 实现 了 信息 的 机 密 性 。 

3. 完整 性 

完整 性 指 防止 数据 未 经 授权 或 意外 改动 ,包括 数据 插入 ,删除 和 修改 等 。 为 了 确保 数据 
的 完整 性 ,系统 必须 能 够 检测 出 未 经 授权 的 数据 修改 。 其 目标 是 使 数据 的 接收 方 能 够 证 实 
数据 没有 被 改动 过 。 

如 图 1. 3 所 示 ,“ 改 不 了 ”和 “ 拿 不 走 ” 都 实现 了 信息 系统 的 完整 性 。 

使 用 加 密 机 制 , 可 以 保证 信息 系统 的 完整 性 ,攻击 者 无 法 对 加 密 信息 进行 修改 或 者 复 
制 。 完 整 性 与 机 密 性 不 同 ,机 密 性 要 求 信息 不 被 泄露 给 未 授权 的 人 ,而 完整 性 则 要 求 信息 不 
能 受到 各 种 原因 的 任意 破坏 。 

4. 不 可 抵赖 性 

不 可 抵赖 性 也 叫 不 可 否认 性 , 即 防止 个 人 否认 先前 已 执行 的 动作 ,其 目标 是 确保 数据 的 
接收 方 能 够 确信 发 送 方 的 身份 。 例 如 ,接收 者 不 能 否认 收 到 消息 ,发送 者 也 不 能 否认 发 送 过 
消息 。 

如 图 1. 3 所 示 ,“ 跑 不 掉 ” 就 实现 了 信息 系统 的 不 可 抵赖 性 。 

如 果 攻 击 者 进行 了 非法 操作 ,系统 管理 员 使 用 审计 机 制 或 签名 机 制 也 可 让 他 们 无 处 通 形 。 

网 络 安全 的 技术 主要 包括 监控 扫描、 检测. 加密、 认证 、 防 攻击 、 防 病毒 以 及 审计 等 几 个 
方面 ,其 中 加 密 技 术 是 核心 技术 ,已 经 渗透 到 大 部 分 安全 产品 之 中 ,并 正 向 芯片 化 方向 发 展 。 


课 后 习题 
选择 题 
1. 向 有 限 的 空间 输入 超 长 的 字符 串 是 ( ) 攻 击 手 段 。 
A. 缓冲 区 溢出 B. 网 络 监听 C. 端口 扫描 D. IP 欺骗 


2. 使 网 络 服务 器 中 充斥 着 大 量 要 求 回复 的 信息 ,消耗 带宽 ,导致 网 络 或 系统 停止 正常 
服务 ,这 属于 ( ””) 漏 洞 。 


A. 拒绝 服务 B. 文件 共享 C. BIND 漏洞 D. 远程 过 程 调用 
3. 不 属于 黑客 被 动 攻击 的 是 ( 和 

A. 缓冲 区 溢出 B. 运行 恶意 软件 

C. 浏览 恶意 代码 网 页 D. 打开 病毒 附件 

4. 抵御 电子 邮箱 入侵 措施 中 ,不 正确 的 是 ( 

A. 不 用 生日 做 密码 B. 不 要 使 用 少 于 5 位 的 密码 

C. 不 要 使 用 纯 数字 D. 自己 做 服务 器 


5. 不 属于 常见 的 危险 密码 的 是 ( i 

A. 跟 用 户 名 相同 的 密码 B. 使 用 生日 作为 密码 

C. 只 有 4 位 数 的 密码 D. 10 位 的 综合 型 密码 

6. 属于 黑客 人 侵 的 常用 手段 的 是 ( ys 

A. 口令 设置 B. 邮件 群发 C. 窃取 情报 D. IP 欺骗 
7. 计算 机 网 络 系统 的 安全 威胁 不 包括 ( Ns 

A. 黑客 攻击 B. 网 络 内 部 的 安全 威胁 

C. 病毒 攻击 D. 自然 灾害 

8. 信息 安全 危害 的 两 大 源头 是 病毒 和 黑客 ,因为 黑客 是 ( )s 

A. 计算 机 编程 高 手 B.Cookies 的 发 布 者 

C. 网 络 的 非法 入 侵 者 D. 信息 垃圾 的 制造 者 

9. 以 下 不 属于 计算 机 安全 措施 的 是 ( 加 

A. 下 载 并 安装 系统 漏洞 补丁 程序 B. 安装 并 定时 升级 正版 杀毒 软件 
C. 安装 软件 防火 墙 D. 不 将 计算 机 连 入 互联 网 

10. 为 了 降低 风险 ,不 建议 使 用 的 Internet 服务 是 ( Xa 

A. Web 服务 B. 外 部 访问 内 部 系统 

C. 内 部 访问 Internet D. FTP 服务 

11. 截至 2008 年 6 月 底 , 中 国 网 民 数 量 达 到 ( ) ,网 民 规 模 跃 居 世 界 第 一 位 。 
A. 2.53 亿 B. 3.53 亿 的 全 也 .1.53 亿 
填空 题 


1. 比较 常用 的 防范 黑客 的 技术 产品 有 ( 区 ) 和 安全 工具 包 /软件 。 
2. 用 户 的 密码 按照 时 间或 使 用 次 数 不 断 动态 变化 ,每 个 密码 只 使 用 一 次 ,这 种 密码 叫 
做 ( Ws 
3. 生物 特征 识别 技术 指 通过 计算 机 ,利用 人 体 所 固有 的 生理 特征 或 行为 特征 来 进行 个 
人 身份 鉴定 。 常 用 的 生物 特征 包括 指纹 、 掌 纹 、( i yxC ) . 脸 像 等 。 
4.( ) 是 特 指 计算 机 系统 的 非法 侵入 者 。 
5. 网 络 攻击 可 被 分 为 两 类 : ( ) 和 ( 和 
8; ) 即 攻击 者 想 办 法 让 目标 机 器 停止 提供 服务 或 资源 访问 ,是 黑客 常用 的 攻击 手 
段 之 一 。 
造成 网 络 不 安全 的 主要 原因 有 哪些 ? 
威胁 企业 安全 的 网 络 危险 行为 有 哪些 ? 
防范 钓鱼 网 站 的 方法 是 什么 ? 
简 述 网 络 密码 的 重要 性 。 有 哪 几 种 方法 可 以 保护 密码 不 被 破解 或 者 被 盗 取 ? 
. 黑客 的 行为 主要 有 哪些 ? 
网 络 攻击 技术 主要 包括 哪些 方面 ? 
. 常见 的 网 络 攻 击 形式 有 哪些 ? 
. 我 国 网 络 安全 的 战略 目标 是 什么 ? 
. 网 络 安全 的 目标 可 归纳 为 哪 四 个 方面 ? 
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第 2 章 网 络 监控 软件 原理 


2.1 网 络 监控 软件 介绍 


计算 机 网 络 的 普及 应 用 已 渗透 到 社会 各 个 层面 ,网 络 给 各 行 各 业 带 来 便利 的 同时 也 带 
来 了 安全 和 管理 问题 。 互 联网 是 一 把 双 刃 剑 , 有 了 网 络 , 实 现 网 络 办 公 的 同时 ,企业 员工 利 
用 工作 时 间 在 网 上 看 新 闻 、 玩 游戏 . 干 私 活 、 聊 天 、 泄 密 公 司 资料 ,炒股 票 .下 电影 . 听 歌 曲 ` 济 
览 色情 站 点 甚至 利用 公司 的 网 络 为 自己 找 工作 。 大 量 消耗 了 公司 的 资源 ,影响 工作 效率 、 泄 
露 企业 机 密 甚 至 丢失 客户 资源 , 令 人 痛心 。 利 用 局 域 网 网 络 监控 软件 这 一 行 之 有 效 的 辅助 
管理 手段 ,并 结合 企业 的 内 部 管理 机 制 对 企业 信息 进行 管理 以 预防 和 避免 上 述 事件 的 发 生 ， 
能 达到 事半功倍 的 效果 ,这 一 方法 ,已 经 为 大 家 所 认 知 。 


2.1.1 为 什么 要 使 用 网 络 监 控 软 件 


很 多 单位 很 舍得 对 网 络 以 及 计算 机 设备 的 投入 ,但 却 不 舍得 对 应 用 软件 特别 是 安全 软 
件 的 投入 ; 组 建 了 性 能 出 色 的 网 络 环境 以 及 购买 了 现代 化 的 办 公设 备 , 这 些 高 端 设备 却 成 
了 浪费 公司 人 力 和 财力 ,甚至 是 纵容 员工 上 班 时 间 做 单位 之 外 的 事情 的 “帮凶 ”不仅 降低 了 
工作 效率 ,甚至 会 造成 更 大 的 损失 。 设 置 网 络 监 控 管理 , 防 患 于 未 然 , 变 得 尤为 必要 。 

目前 很 多 企业 配备 了 专门 的 网 络 管理 人 员 管 理 企业 所 构建 的 网 站 ,虽然 管 好 了 设备 ,但 
设备 所 带 来 的 方便 却 降低 了 企业 员工 的 工作 效率 (都 用 网 络 干 别 的 事情 去 了 ) ,加 大 了 商业 
信息 泄露 的 风险 (因为 缺乏 管理 ,客户 资料 很 可 能 被 自己 人 传送 给 竞争 对 手 ,成 为 对 方 的 资 
源 )。 因 此 ,企业 内 部 网 络 的 管理 仅仅 靠 购买 设备 是 不 够 的 ,仅仅 建设 网 站 也 是 不 够 的 ,只 管 
理 网 络 设备 还 是 不 够 的 ,还 需要 把 员工 使 用 网 络 的 内 容 做 监控 ,把 使 用 网 络 的 行为 管理 起 
来 。 尤 其 是 外 贸 企 业 .技术 研发 类 企业 (如 软件 开发 .机 械 工程 ) .政府 机 关 、 银 行医 院 、 部 队 
等 关键 任务 机 构 , 对 员工 的 上 网 监督 管理 必 不 可 少 。 


2.1.2 网 络 监控 软件 主要 目标 


网 络 监控 系统 总 体 目 标 是 能 有 效 防止 员工 通过 网 络 以 各 种 方式 泄密 ,防止 并 追查 重要 
资料 .机密 文件 的 外 泄 渠道 ,实现 对 网 络 计算 机 及 网 络 资源 的 统一 管理 和 有 效 监控 。 监 督 、 
审查 .限制 ,规范 网 络 使 用 行为 ,未 经 授权 不 得 以 任何 方式 外 发 文件 ,不 得 在 上 班 时 间 利用 网 
络 做 不 应 该 做 的 事 (例如 ,聊天 、 游 戏 、 外 发 资料 .BT 恶性 下 载 和 股票 等 ) ,能 够 记录 网 络 往 
来 的 内 容 ( 比 如 外 贸 企 业 的 订单 过 程 .QQ/MSN 聊天 记录 内 容 和 行为 过 程 ), 对 计算 机 的 各 
种 端口 和 设备 实施 全 面 管理 和 控制 ,对 使 用 计算 机 、 上 网 、 收 发 邮件 .网 上 聊天 和 计算 机 游戏 
进行 严格 管理 ,能 够 进行 流量 限制 以 及 网 站 访问 统计 ,分 析 员 工 使 用 网 络 情况 等 。 


2.1.3 网 络 监 控 软 件 的 分 类 


按照 运行 原理 区 分 为 监听 模式 和 网 关 模 式 两 种 。 

1. 监听 模式 

通过 抓 取 总 线 MAC 层 数据 帧 方式 而 获得 监听 数据 ,并 利用 网 络 通信 协议 原理 而 实现 
控制 的 方法 。 采 用 如 下 方法 之 一 来 解决 安装 问题 : 

1) 通过 共享 式 hub( 集 线 器 ) 

这 个 模式 是 一 个 比较 通用 的 方法 ,但 由 于 hub 基本 都 是 10MB 的 ,因此 在 网 络 性 能 上 
将 有 很 大 限制 ,也 意味 着 有 丢 包 的 危险 。 目 前 hub 几乎 到 了 淘汰 的 边缘 ,也 不 适合 大 型 网 
络 环境 ,因此 有 很 大 局 限 。 

2) 通过 镜像 交换 机 

由 于 网 管 的 镜像 交换 机 价格 相对 较 贵 并 需要 专业 的 配置 ,所 以 中 小 企业 并 没有 带 镜 像 
功能 的 交换 机 ; 如 果 规 模 比 较 小 (比如 30 台 计 算 机 以 下 ) ,那么 添置 镜像 交换 机 就 意味 着 成 
本 的 提高 ; 有 些 便宜 的 交换 机 虽然 带 镜像 功能 ,但 在 镜像 后 由 于 双向 (监视 和 控制 ) 数 据 流 
处 理 不 完善 而 导致 交换 机 瞬间 阻塞 现象 。 但 相 比 hub 模式 来 说 ,使 用 镜像 交换 机 实现 监听 
无 疑 是 理想 的 选择 。 

3) 通过 代理 /网 关 服务 器 

代理 /网 关 服 务 器 ,就 是 在 服务 器 上 通过 Windows 连接 共享 设置 ,其 他 计算 机 通过 这 
个 代理 /网 关 服 务 器 分 享 上 网 。 一 般 都 是 双 网 卡 模式 : 一 个 网 卡 连接 外 网 ,另外 一 个 网 卡 
连接 内 网 。 但 现在 大 部 分 的 网 络 已 经 不 再 使 用 这 个 模式 ,直接 通过 路 由 的 NAT 上 网 共 
享 模式 。 

从 上 面 文字 的 描述 中 可 以 看 到 ,其 实 所 有 的 监听 模式 的 解决 方法 都 是 不 太 可 靠 的 ,而 目 
前 所 有 使 用 WINPCAP 驱动 的 网 络 监 控 软 件 以 及 使 用 网 络 层 驱动 的 软件 都 是 监听 模式 。 
如 果 一 个 软件 要 求 使 用 前 面 的 三 个 安装 方法 之 一 , 那 就 肯定 是 监听 模式 软件 ,因此 真正 商业 
运行 的 话 强烈 建议 网 关 模 式 。 

2. 网 关 模 式 

由 于 所 有 出 口 数据 流 都 必须 经 过 该 网 关 , 因 此 控制 方面 可 以 说 是 最 强大 ,完美 而 无 任何 
副作用 的 方式 。 网 关 模 式 克 服 了 目前 所 有 的 采用 WINPCAP 模式 或 网 络 层 驱动 模式 下 的 
所 有 弱点 ,克服 了 所 有 监听 模式 下 阻 断 UDP 的 致命 弱点 ,是 网 络 监控 最 理想 的 模式 。 

网 关 模 式 按照 管理 目标 区 分 为 内 网 监控 和 外 网 监控 两 种 。 

(1) 内 网 监控 的 主要 目标 是 管理 网 内 计算 机 的 所 有 资源 和 使 用 过 程 ,比如 网 内 的 计算 
机 硬件 资源 (有 什么 设备 .是否 允许 使 用 ) ,软件 资 源 ( 安 装 了 什么 软件 .是否 允 许 使 用 ) 数据 
资源 (有 什么 重要 资料 文件 数据, 是否 被 合法 使 用 ) 行为 操作 (对 工作 的 评估 、 使 用 计算 机 
的 合法 性 , 干 了 一 些 什么 事情 ) ,等 等 。 

(2) 外 网 监控 的 主要 目标 是 监视 网 内 计算 机 的 上 网 内 容 和 管理 上 网 行为 ,比如 网 络 监 
控 、 邮 件 监控 、 上 网 监控 、 网 页 监控 、FTP 监控 、MSN 聊天 内 容 监 控 、 游 戏 监控 ,流量 监控 和 
限制 QQ/MSN 等 聊天 行为 监控 、 自 定义 监控 、TCP/UDP 全 系列 双向 端口 监视 和 控制 .BT 
完美 禁止 ,等 等 。 

无 论 是 硬件 还 是 软件 方式 的 解决 方法 ,都 应 包含 内 网 监控 和 外 网 监控 产品 ,通过 合理 的 
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击 访 油 
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投资 组 合 获得 不 断 升级 ,更 新 对 资源 和 行为 的 管理 。 硬 件 在 性 能 上 相 比 软件 来 说 较为 优势 ， 
但 在 拓展 性 、 升 级 更 新 ,投资 成 本 上 却 会 造成 很 大 的 麻烦 。 


2.2 Sniffer 工具 介绍 


2.2.1 Sniffer 的 原理 


Sniffer 程序 是 一 种 利用 以 太 网 的 特性 把 网 络 适 配 卡 (NIC) 置 为 混杂 (promiscuous) 模 
式 状 态 的 工具 ,一 旦 网 卡 设置 为 这 种 模式 , 它 就 能 接收 传输 在 网 络 上 的 每 一 个 信息 包 。 

通常 情况 下 ,网卡 只 接收 和 自己 的 地 址 有 关 的 信息 包 , 即 传输 到 本 地 主机 的 信息 包 。 要 
使 Sniffer 能 接收 并 处 理 这 种 方式 的 信息 ,系统 需要 支持 BPF( 作 用 是 获得 在 数据 链 路 层 上 
的 所 有 数据 ) ,Linux 下 需要 支持 SOCKET-PACKET。 但 一 般 情 况 下 ,网络 硬 件 和 TCP/IP 
堆栈 不 支持 接收 或 者 发 送 与 本 地 计算 机 无 关 的 数据 包 , 所 以 ,为 了 绕 过 标准 的 TCP/IP 堆 
栈 , 网 卡 就 必须 设置 为 混杂 模式 。 一 般 情 况 下 ,要 激活 这 种 方式 ,内 核 必须 支持 这 种 伪 设 备 
Bpfilter ,而且 需 要 管理 员 权限 来 运行 这 种 程序 。 所 以 ,Sniffer 需要 以 管理 员 身 份 安装 。 如 
果 只 是 以 本 地 用 户 的 身份 进入 了 系统 ,那么 不 可 能 嗅 探 到 管理 员 的 密码 ,所 以 不 能 运行 
Sniffer。 

也 有 基于 无 线 网 络 .广域网 络 (CDDN 、FR) 甚 至 光 网 络 (POS、Fiber Channel) 的 监听 技 
术 , 这 时 候 略 微 不 同 于 以 太 网 络 上 的 捕获 概念 ,其 中 通常 会 引入 TAP( 测 试 介入 点 ) 这 类 的 
硬件 设备 来 进行 数据 采集 。 因 为 不 是 十 分 常见 ,所 以 也 不 再 详细 介绍 。 


2.2.2 Sniffer 的 分 类 


Sniffer 分 为 软件 和 硬件 两 种 。 软 件 的 Sniffer 有 Sniffer Pro Network Monitor PacketBone 
等 ,其 优点 是 易于 安装 部 署 ,易于 学 习 使 用 ,同时 也 易于 交流 ; 缺点 是 无 法 抓 取 网 络 上 所 有 
的 传输 , 某 些 情况 下 也 就 无 法 真正 了 解 网 络 的 故障 和 运行 情况 。 硬 件 的 Sniffer 通常 称 为 协 
议 分 析 仪 ,一般 都 是 商业 性 的 ,价格 也 比较 昂贵 ,但 会 具备 支持 各 类 扩展 的 链 路 捕获 能 力 以 
及 高 性 能 的 数据 实时 捕获 分 析 的 功能 。 

基于 以 太 网 络 嗅 探 的 Sniffer 只 能 抓 取 一 个 物理 网 段 内 的 包 , 就 是 说 ,你 和 监听 的 目标 
中 间 不 能 有 路 由 或 其 他 屏蔽 广播 包 的 设备 ,这 一 点 很 重要 。 所 以 ,对 一 般 拨号 上 网 的 用 户 来 
说 ,是 不 可 能 利用 Sniffer 来 窃听 到 其 他 人 的 通信 内 容 的 。 


2.2.3 网 络 监听 的 目的 


当 一 个 黑客 成 功 地 攻陷 了 一 台 主 机 ,并 拿 到 了 管理 员 权 限 , 而 且 还 想 利用 这 台 主 机 去 攻 
击 同一 (物理 ) 网 段 上 的 其 他 主机 时 ,他 就 会 在 这 台 主 机 上 安装 Sniffer 软件 ,对 以 太 网 设备 
上 传送 的 数据 包 进行 侦 听 ,从 而 发 现 感 兴趣 的 包 。 如 果 发 现 符合 条 件 的 包 ,就 把 它 存 到 一 个 
Log 文件 中 去 。 通 常设 置 的 这 些 条 件 是 包含 字 username 或 password 的 包 , 这 样 的 包 里 面 
通常 有 黑客 感 兴趣 的 密码 之 类 的 东西 。 一 旦 黑客 截获 了 某 台 主机 的 密码 ,就 会 立刻 进入 这 
台 主 机 。 


如 果 Sniffer 运行 在 路 由 器 上 或 有 路 由 功能 的 主机 上 ,就 能 对 大 量 的 数据 进行 监控 , 因 


为 所 有 进出 网 络 的 数据 包 都 要 经 过 路 由 器 。 

Sniffer 属于 第 M 层次 的 攻击 。 也 就 是 说 ,只 有 在 攻击 者 已 经 进入 了 目标 系统 的 情况 
下 ,才能 使 用 Sniffer 这 种 攻击 手段 ,以 便 得 到 更 多 的 信息 。 

Sniffer 除了 能 得 到 口令 或 用 户 名 外 ,还 能 得 到 更 多 的 其 他 信息 ,比如 一 段 保密 信息 在 
网 上 传送 的 金融 信息 等 。Sniffer 几乎 能 得 到 任何 在 以 太 网 上 传送 的 数据 包 。 


2.2.4 Sniffer 的 应 用 


Sniffer 在 当前 网 络 技术 中 应 用 得 非常 广泛 。Sniffer 既 可 以 作为 网 络 故障 的 诊断 工具 ， 
也 可 以 作为 黑客 嗅 探 和 监听 的 工具 。 最 近 两 年 ,网 络 监听 技术 出 现 了 新 的 重要 特征 。 传 统 
的 Sniffer 技术 是 被 动 地 监听 网 络 通信 .用户 名 和 口令 ; 而 新 的 Sniffer 技术 出 现 了 主动 地 控 
制 通信 数据 的 特点 ,把 Sniffer 技术 扩展 到 了 一 个 新 的 领域 。Sniffer 主要 有 以 下 几 个 方面 的 
应 用 : 

(1) Sniffer 可 以 帮助 评估 业务 运行 状态 。 如 果 网 管 能 告诉 老板 说 ,公司 的 业务 运行 正 
常 ,性 能 良好 , 比 起 跟 老板 报告 说 网 络 没有 问题 ,我 想 老板 会 更 愿意 听 前 面 的 报告 ,但 要 做 这 
样 的 报告 , 光 说 是 不 行 的 ,必须 有 根据 ,Sniffer 就 能 提供 这 样 的 根据 。 比 如 各 个 应 用 的 响应 
时 间 ,一 个 操作 需要 的 时 间 , 应 用 带宽 的 消耗 ,应 用 的 行为 特征 ,应 用 性 能 的 瓶颈 等 ,这 些 
Sniffer 都 可 以 提供 相应 的 数据 。 

(2) Sniffer 能 够 帮助 评估 网 络 的 性 能 。 比 如 各 链 路 的 使 用 率 , 网 络 的 性 能 趋势 ,网 络 中 
哪 一 些 应 用 消耗 带宽 最 多 ,网 络 上 哪 一 些 用 户 消耗 带宽 最 多 ,各 分 支 机 构 流 量 状况 ,影响 网 
络 性 能 的 主要 因素 ,可 否 做 一 些 相应 的 控制 等 

(3) Sniffer 帮助 快速 定位 故障 。Sniffer 的 三 大 功能 : 监测 .专家 系统 解码 都 可 以 帮助 
快速 定位 故障 。 

(4) Sniffer 可 以 帮助 排除 潜在 的 威胁 。 网 络 中 有 各 种 各 样 的 应 用 ,有 一 些 是 关键 应 用 ， 
有 一 些 是 办 公 软 件 ,有 一 些 是 业务 应 用 ,还 有 一 些 就 是 威胁 ,威胁 不 但 对 业务 没有 帮助 ,还 可 
能 带 来 危害 ,比如 病毒 ,木马 .扫描 等 ,Sniffer 可 以 快速 地 发 现 它们 ,并 且 发 现 攻击 的 来 源 ， 
这 就 为 网 管 员 做 控制 提供 了 根据 。 比 如 在 2003 年 冲击 波 发 作 的 时 候 ,很 多 Sniffer 的 用 户 
通过 Sniffer 快速 定位 受 感染 的 机 器 。 

(5) Sniffer 可 以 做 流量 的 趋势 分 析 。 通 过 长 期 监控 ,可 以 发 现 网 络 流量 的 发 展 趋势 ,为 
将 来 网 络 改造 提供 建议 和 依据 。 

(6) Sniffer 可 以 做 应 用 性 能 预测 。Sniffer 能 够 根据 捕获 的 流量 分 析 一 个 应 用 的 行为 
特征 ,还 可 以 用 Sniffer 来 评估 应 用 的 瓶颈 在 哪 ,不 同 应 用 瓶颈 不 同 ,Sniffer 能 比较 准确 地 预 
测 出 具体 的 位 置 。 


2.2.5 Sniffer 的 工作 原理 


通常 在 同一 个 网 段 的 所 有 网 络 接口 都 有 访问 在 物理 媒体 上 传输 的 所 有 数据 的 能 力 , 而 
每 个 网 络 接口 都 有 一 个 硬件 地 址 ,该 硬件 地 址 不 同 于 网 络 中 存在 的 其 他 网 络 接口 的 硬件 地 
址 ; 每 个 网 络 至 少 还 要 一 个 广播 地 址 (代表 所 有 的 接口 地 址 )。 在 正常 情况 下 ,一 个 合法 的 
网 络 接口 应 该 只 响应 这 样 的 两 种 数据 帧 ; 

(1) 帧 的 目标 区 域 具有 和 本 地 网 络 接口 相 匹配 的 硬件 地 址 。 
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(2) 帧 的 目标 区 域 具有 “广播 地 址 ”。 

在 接收 到 上 面 两 种 情况 的 数据 包 时 ,网 卡通 过 CPU 产生 一 个 硬件 中 断 , 该 中 断 能 引起 
操作 系统 注意 ,然后 将 帧 中 所 包含 的 数据 传送 给 系统 进一步 处 理 。 

而 Sniffer 就 是 一 种 能 将 本 地 网 卡 状态 设 成 混杂 状态 的 软件 , 当 网 卡 处 于 这 种 “混杂 ” 模 
式 时 ,该 网 卡 具 备 “ 广 播 地 址 ”, 它 对 所 有 遭遇 到 的 每 一 个 帧 都 产生 一 个 硬件 中 断 以 便 提 
醒 操作 系统 处 理 流 经 该 物理 媒体 上 的 每 一 个 报 文 包 ( 绝 大 多 数 的 网 卡 具 备 置 成 混杂 方式 
的 能 力 ) 。 

可 见 ,Sniffer 工作 在 网 络 环境 中 的 底层 , 它 会 拦截 所 有 正在 网 络 上 传送 的 数据 ,并 且 通 
过 相应 的 软件 处 理 ,可 以 实时 分 析 这 些 数据 的 内 容 , 进 而 分 析 所 处 的 网 络 状态 和 整体 布局 。 
值得 注意 的 是 ,Sniffer 是 极其 安静 的 , 它 是 一 种 消极 的 安全 攻击 。 

通常 Sniffer 所 要 关心 的 内 容 可 以 分 成 以 下 几 类 。 

(1) 口令 。 这 是 绝 大 多 数 非法 使 用 Sniffer 的 原因 , Sniffer 可 以 记录 到 明文 传送 的 
userid 和 passwd。 即 使 在 网 络 传送 过 程 中 使 用 了 加 密 的 数据 ,Sniffer 的 记录 一 样 有 可 能 使 
入 侵 者 使 用 破解 软件 来 恢复 加 密 数据 。 

(2) 金融 账号 。 许 多 用 户 很 放心 在 网 上 使 用 自己 的 信用 卡 或 现金 账号 ,然而 Sniffer 可 
以 很 轻松 地 截获 在 网 上 传送 的 用 户 姓名 .口令 、 信 用 卡号 码 、 截 止 日 期 .账号 和 pin。 

(3) 偷 宕 机 密 或 敏感 的 信息 数据 。 通 过 拦截 数据 包 , 入 侵 者 可 以 很 方便 地 记录 别人 之 
间 敏 感 的 信息 传送 ,或 者 干脆 拦截 整个 的 E-mail 会 话 过 程 。 

(4) 窥探 低级 的 协议 信息 。 通 过 对 底层 的 信息 协议 记录 ,比如 记录 两 台 主 机 之 间 的 网 
络 接口 地 址 .远程 网 络 接口 IP 地 址 、IP 路 由 信息 和 TCP 连接 的 字 节 顺序 号 码 等 。 这 些 信 
息 由 非法 入侵 的 人 掌握 后 将 对 网 络 安全 构成 极 大 的 危害 ,通常 有 人 用 Sniffer 收集 这 些 信息 
只 有 一 个 原因 : 他 正在 进行 一 次 欺诈 (通常 的 IP 地 址 欺诈 就 要 求 你 准确 插入 TCP 连接 的 
字 节 顺序 号 )。 


2.3 Sniffer 的 工作 环境 


Sniffer 的 正当 用 处 在 于 分 析 网 络 的 流量 ,以 便 找 出 所 关心 的 网 络 中 潜在 的 问题 。 例 如 
网 络 的 某 一 段 运行 得 不 是 很 好 , 报 文 的 发 送 比 较 慢 ,而 用 户 又 不 知道 问题 出 在 什么 地 方 , 此 
时 就 可 以 用 Sniffer 来 做 出 精确 的 问题 判断 。 

Sniffer 在 功能 和 设计 方面 有 很 多 不 同 。 有 些 只 能 分 析 一 种 协议 ,而 另 一 些 可 能 能 够 分 
析 几 百 种 协议 。 一 般 情况 下 ,大 多 数 的 Sniffer 至 少 能 够 分 析 标 准 以 太 网 .TCP/IP、IPX 和 
DECNet 等 协议 。 

Sniffer 通常 是 软 硬 件 的 结合 。 专 用 的 Sniffer 价格 非常 昂贵 。 另 一 方面 ,免费 的 虽然 不 
需要 花 什么 钱 ,但 得 不 到 什么 技术 支持 。 

Sniffer 与 一 般 的 键盘 捕获 程序 不 同 。 键 盘 捕 获 程序 捕获 在 终端 上 输入 的 键 值 ,而 
Sniffer 则 捕获 真实 的 网 络 报 文 。 数 据 在 网 络 上 是 以 很 小 的 称 为 帧 (Frame) 的 单位 传输 的 ， 
帧 由 好 几 部 分 组 成 ,不 同 的 部 分 执行 不 同 的 功能 (例如 ,以 太 网 的 前 12 个 字 节 存放 的 是 源 和 
目的 地 址 ,这 些 字 节 表明 了 数据 的 来 源 和 去 处 。 以 太 网 帧 的 其 他 部 分 存放 实际 的 用 户 数 据 、 
TCP/IP 的 报 文 头 或 IPX 报 文 头等 ) 。 


帧 通过 特定 的 称 为 网 络 驱动 程序 的 软件 进行 成 型 ,然后 通过 网 卡 发 送 到 网 线 上 。 通 过 
网 线 到 达 它 们 的 目的 机 器 ,在 目的 机 器 的 一 端 执行 相反 的 过 程 。 接 收 端 机 器 的 以 太 网 卡 捕 
获 到 这 些 帧 ,并 告诉 操作 系统 帧 的 到 达 , 然 后 对 其 进行 存储 。 就 是 在 这 个 传输 和 接收 的 过 程 
中 ,Sniffer 会 造成 安全 方面 的 问题 。 

一 个 在 LAN 上 的 工作 站 都 有 其 硬件 地 址 。 这 些 地 址 唯一 地 表示 着 网 络 上 的 机 器 
(这 一 点 与 Internet 地 址 系统 比较 相似 )。 当 用 户 发 送 一 个 报 文 时 ,这 些 报 文 就 会 发 送 到 
LAN 上 所 有 可 用 的 机 器 。 

在 一 般 情况 下 ,网 络 上 所 有 的 机 器 都 可 以 “ 听 ” 到 通过 的 流量 ,但 对 不 属于 自己 的 报 文 则 
不 予 响应 ( 换 句 话说 ,工作 站 A 不 会 捕获 属于 工作 站 B 的 数据 ,而 是 简单 地 忽略 这 些 数据 )。 

如 果 在 工作 站 的 网 络 接口 处 于 混杂 模式 ,那么 它 就 可 以 捕获 网 络 上 所 有 的 报 文 和 帧 ,如 
果 一 个 工作 站 被 配置 成 这 样 的 方式 , 它 就 是 一 个 Sniffer。 事 实 上 ,如 果 在 网 络 上 存在 非 授 
权 的 Sniffer 就 意味 着 系统 已 经 暴露 在 别人 面前 了 。 

一 般 只 嗅 探 每 个 报 文 的 前 200 一 300 个 字 节 。 用 户 名 和 口令 都 包含 在 这 一 部 分 中 ,这 是 
我 们 关心 的 真正 部 分 。 也 可 以 嗅 探 给 定 接口 上 的 所 有 报 文 ,如 果 有 足够 的 空间 进行 存储 ,有 
足够 的 能 力 进 行 处 理 的 话 ,将 会 发 现 另 一 些 非常 有 用 的 数据 。 

简单 地 放置 一 个 Sniffer, 将 其 放 到 随便 什么 地 方 将 不 会 起 到 什么 作用 。 将 Sniffer 放置 
于 被 攻击 机 器 或 网 络 附近 ,这 样 将 捕获 到 很 多 口令 ,还 有 一 个 比较 好 的 方法 就 是 放 在 网 关 
上 。 如 果 这 样 的 话 就 能 捕获 网 络 和 其 他 网 络 进行 身份 鉴别 的 过 程 。 这 样 的 方式 将 成 倍 地 增 
加 可 用 数据 。 


2.4 Sniffer Pro 软件 使 用 


Sniffer Pro 是 美国 Network Associates 公司 出 品 的 一 款 网 络 分 析 软 件 。 它 可 用 于 网 络 
故障 分 析 与 性 能 管理 ,在 网 络 界 应 用 非常 广泛 。 

通过 Sniffer Pro 实时 监控 ,及 时 发 现 网 络 环境 中 的 故障 (例如 病毒 .攻击 .流量 超 限 等 
非 正常 行为 )。 对 于 很 多 企业 、 网 吧 网 络 环境 中 ,网 关 ( 路 由 、 代 理 等 ) 自 身 不 具备 流量 监控 、 
查询 功能 ,本 文 将 是 一 个 很 好 的 解决 方案 。Sniffer Pro 强大 的 实用 功能 还 包括 网 内 任意 终 
端 流量 实时 查询 、 网 内 终端 与 终端 之 间 流 量 实时 查询 ,终端 流量 TOP 排行 .异常 告警 等 。 
同时 ,将 数据 包 捕获 后 ,通过 Sniffer Pro 的 专家 分 析 系统 帮助 用 户 更 进一步 分 析 数 据 包 , 以 
便 更 好 地 分 析 、 解 决 网 络 异 常 问题 。 

(1) 部 署 Sniffer pro 软件 ,如 图 2. 1 所 示 的 拓扑 。 

(2) 配置 交换 机 端口 镜像 。 端 口 镜像 就 是 把 交换 机 一 个 或 多 个 端口 (VLAN) 的 数据 镜 
像 到 一 个 或 多 个 端口 的 方法 。 交 换 机 的 工作 原理 与 hub 有 很 大 的 不 同 ,hub 组 建 的 网 络 数 
据 交 换 都 是 通过 广播 方式 进行 的 ,而 交换 机 组 建 的 网 络 是 根据 交换 机 内 部 MAC 表 ( 通 常 也 
称 IP-MAC 表 ) 进 行 数据 转发 ,因此 需要 通过 配置 交换 机 来 把 一 个 或 多 个 端口 (VLAN) 的 
数据 转发 到 某 一 个 端口 来 实现 对 网 络 的 监听 。 

(3) Sniffer Pro 安装 .启动 .配置 ( 详 见 第 10 章 ) 。 
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图 2.1 带 有 Sniffer pro 的 网 络 拓扑 


2.6 网 路 岗 工具 介绍 


2.6.1 网 路 岗 的 基本 功能 


网 路 岗 软 件 通 过 旁 路 对 网 络 数据 流 进行 采集 、 分 析 和 识别 ,实时 监视 网 络 系统 的 运行 状 
态 , 记 录 网 络 事件 ,发现 安全 隐患 ,并 对 网 络 活动 的 相关 信息 进行 存储 、 分 析 和 协议 还 原 。 该 
产品 可 监视 企业 内 部 员工 是 否 将 公司 机 密 资料 通过 因特网 外 传 到 竞争 对 手 的 手中 。 

网 路 岗 软件 可 以 监控 的 内 容 包 括 监控 邮件 内 容 和 附件 (包括 Web 邮件 监控 ) ,监控 聊天 
内 容 ,监控 上 网 网 站 ,监控 FTP 外 传 文件 ,监控 Telnet 命令 ,监控 上 网 流量 ,IP 过 滤 .端口 过 
滤 、 网 页 过 滤 、 封 堵 聊 天 游戏 ,限制 外 发 资料 邮件 大 小 ,限制 网 络 流量 ,IP-MAC 绑 定 ,截取 屏 
幕 等 。 


2.6.2 网 路 岗 对 上 网 的 监控 能 做 到 什么 程度 


(1) 让 某 人 只 能 在 规定 时 间 上 网 , 且 只 能 上 指定 的 网 站 。 

(2) 让 某 人 只 能 在 哪个 网 站 上 收发 邮件 ,只 能 收发 哪 类 的 邮箱 。 

(3) 谁 什么 时 候 通 过 什么 软件 发 送 了 什么 邮件 或 通过 哪个 网 站 发 了 什么 软件 ,邮件 的 
内 容 和 附件 是 什么 ,以 及 附件 在 发 送 者 计算 机 的 具体 位 置 。 

(4) 规定 某 人 只 能 发 送 多 大 的 邮件 。 

(5) 规定 某 人 只 能 发 送 到 哪些 目标 邮箱 。 

(6) 轻松 抓 取 指 定 人 的 计算 机 屏幕 。 

(7) 所 有 机 器 在 一 天 内 各 时 间 段 的 上 网 流量 。 

(8) 某 台 机 器 哪些 外 部 端口 不 能 用 ,或 只 能 通过 哪些 端口 和 外 界 联系 ,等 等 。 


2.6.3 网 路 岗 安 装 方式 


(1) 网 路 岗 安 装 在 代理 服务 器 上 ,通过 安装 “代理 服务 器 软件 ”或 “网 路 岗 NAT”, 实 现 
所 有 机 器 共享 一 个 出 口上 网 ,如 图 2. 2 所 示 的 拓扑 。 

安装 方法 : 将 网 路 岗 安 装 在 代理 服务 器 上 , 绑 定 内 网 的 网 卡 , 网 路 岗 设 置 为 非 旁 路 监 
控 ” 模 式 , 重 新 启动 计算 机 。 

(2) 网 路 岗 安装 在 hub 的 一 个 端口 上 ,通过 “IP 分 享 器 、 路 由 器 或 防火 墙 ? 实 现 整个 网 


络 共享 一 个 出 口上 网 , 且 内 部 交换 机 均 不 具备 设置 镜像 端口 的 功能 ,如 图 2. 3 所 示 。 


[ml: IP 分 享 器 、 路 由 器 或 防火 培 
Wal 


图 2.3 网 路 岗 在 hub 的 一 个 端口 上 的 安装 拓扑 
安装 方法 : 在 内 部 交换 机 和 路 由 器 之 间 加 一 共享 式 hub, 再 将 安装 网 路 岗 的 机 器 网 线 
也 接 人 到 hub 上 ,网 路 岗 设 置 为 “ 旁 路 监控 ”模式 。 


(3) 网 路 岗 安 装 在 交换 机 的 镜像 端口 上 ,通过 “IP 分 享 器 、 路 由 器 或 防火 墙 " 实 现 整个 网 
络 共享 一 个 出 口上 网 , 且 内 部 主 交换 机 具备 设置 镜像 端口 的 功能 ,如 图 2.4 所 示 。 


IP 分 享 器 、 路 由 器 或 防火 墙 


被 镜像 端口 


图 2.4 网 路 岗 在 交换 机 的 镜像 端口 上 的 安装 拓扑 


安装 方法 : 在 内 部 主 交换 机 上 设置 端口 镜像 ,将 接 路 由 器 的 网 线 设置 为 “被 镜像 端口 ”， 
将 接 网 路 岗 的 网 线 设 置 为 “镜像 端口 ”。 网 路 岗 设置 为 “ 旁 路 监控 模式。 

(4) 网 路 岗 安装 在 网 络 桥 上 ,在 一 台 双 网 卡 计算 机 上 建立 “网 络 ”, 将 该 “网 络 桥 ? 放 在 
Internet 出 口 处 ,如 图 2. 5 所 示 的 拓扑 。 

安装 方法 : 直接 将 “网 路 岗 ” 安 装 在 启用 “网 络 桥 ” 的 机 器 上 ,“ 网 路 岗 ” 绑 定 在 内 网 的 网 
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特 网 


py 


IP 分 享 器 、 路 由 器 或 防火 墙 


ss 


双 网 卡 主机 ， 已 启用 Windows XP/2003 本 身 自 带 的 “网 络 桥 " 功 能 ， 
一 块 网 卡 接 内 部 交换 机 ， 一 块 网 卡 接 出 口 RouterFire Wall 等 


图 2.5 网 路 岗 在 网 络 桥 上 的 安装 拓扑 


卡 上 ,同时 给 “网 络 桥 ” 配 置 IP 以 使 其 能 访问 内 部 网 其 他 机 器 。 网 路 岗 设置 为 " 非 旁 路 监控 ” 
模式 ,重新 启动 计算 机 。 
(5) 网 路 岗 安 装 、 启 动 、 配 置 ,使 用 ( 详 见 第 11 章 )。 


课 后 习 题 


填空 题 

1. 内 网 监控 的 主要 目标 是 管理 网 内 计算 机 的 ( ) 和 ( js 

2. 外 网 监控 的 主要 目标 是 监视 网 内 计算 机 的 ( ) 和 管理 ( js 
3. 大 多 数 的 嗅 探 器 至 少 能 够 分 析 标 准 以 太 网 、( JRAK ) .DECNet 等 协议 。 
4. 网 络 监控 软件 按照 运行 原理 区 分 为 ( ) 和 ( ) 两 种 类 型 。 
简 答 题 

. 什么 叫 数据 包 监测 ? 它 有 什么 作用 ? 

. 网 络 监控 软件 主要 目标 有 哪些 ? 

. 网 络 监控 软件 的 解决 方案 有 哪些 分 类 ? 

. Sniffer 的 工作 原理 是 什么 ? 

.Sniffer 所 要 关心 的 内 容 可 以 分 成 哪 几 类 ? 

. Sniffer 主要 有 哪 几 个 方面 的 应 用 ? 

. 什么 是 端口 镜像 ? 为 什么 需要 端口 镜像 ? 

网 路 岗 软 件 的 基本 功能 有 哪些 ? 

网 路 岗 软 件 有 哪 几 种 安装 方式 ? 


了 oo 站 中 辐 上 性 


第 3 章 操作 系统 安全 


3.1 国际 安全 评价 标准 的 发 展 及 其 联系 


计算 机 系统 安全 评价 标准 是 一 种 技术 性 法 规 。 在 信息 安全 这 一 特殊 领域 ,如 果 没 有 这 
一 标准 ,与 此 相关 的 立法 .执法 就 会 有 失 偏颇 ,最 终 会 给 国家 的 信息 安全 带 来 严重 后 果 。 由 
于 信息 安全 产品 和 系统 的 安全 评价 事 关 国家 的 安全 利益 ,因此 许多 国家 都 在 充分 借鉴 国际 
标准 的 前 提 下 ,积极 制订 本 国 的 计算 机 安全 评价 认证 标准 。 

第 一 个 有 关 信 息 技 术 安 全 评价 的 标准 诞生 于 20 世纪 80 年 代 的 美国 ,就 是 著名 的 《可 信 
计算 机 系统 评价 准则 》(Trusted Computer System Evaluation Criteri, TCSEC , 又 称 桔 皮 
书 )。 该 准则 对 计算 机 操作 系统 的 安全 性 规定 了 不 同 的 等 级 。 从 20 世纪 90 年 代 开 始 ,一 些 
国家 和 国际 组 织 相继 提出 了 新 的 安全 评价 准则 。1991 年 , 欧 共 体 发 布 了 《信息 技术 安全 评 
价 准 则 》(Information Technology Security Evaluation Criteria,ITSEC) 。1993 年 ,加 拿 大 
发 布 了 《加 拿 大 可 信 计 算 机 产品 评价 准则 》(Canadian Trusted Computer Product 
Evaluation Criteria,CTCPEC) ,CTCPEC 综合 了 TCSEC 和 ITSEC 两 个 准则 的 优点 。 同 
年 ,美国 在 对 TCSEC 进行 修改 补充 并 吸收 ITSEC 优点 的 基础 上 ,发 布 了 《信息 技术 安全 评 
价 联邦 准则 》(FC) ,参见 图 3. 1。 
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图 3.1 安全 评价 标准 的 发 展 


1996 年 6 月 ,上 述 国家 共同 起 草 了 一 份 通用 准则 (CC) ,并 将 CC 推广 为 国际 标准 。CC 发 
布 的 目的 是 建立 一 个 各 国都 能 接受 的 通用 的 安全 评价 准则 ,国家 与 国家 之 间 可 以 通过 签订 
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互 认 协 议 来 决定 相互 接受 的 认可 级 别 , 这 样 能 使 基础 性 安全 产品 在 通过 CC 准则 评价 并 得 
到 许可 进入 国际 市 场 时 ,不 需要 再 作 评价 。 此 外 ,国际 标准 化 组 织 和 国际 电工 委 也 已 经 制定 
了 上 百 项 安全 标准 ,其 中 包括 专门 针对 银行 业务 制定 的 信息 安全 标准 。 国 际 电信 联盟 和 欧 
洲 计算 机 制造 商 协会 也 推出 了 许多 安全 标准 。 


3.1.1 计算 机 安全 评价 标准 


计算 机 安全 评价 标准 一 一 TCSEC 是 计算 机 系统 安全 评估 的 第 一 个 正式 标准 ,具有 划 时 
代 的 意义 。 该 准则 于 1970 年 由 美国 国防 科学 委员 会 提出 ,并 于 1985 年 12 月 由 美国 国防 部 
公布 。TCSEC 最 初 只 是 军用 标准 ,后 来 延至 民用 领域 。TCSEC 将 计算 机 系统 的 安全 划分 
为 4 个 等 级 7 个 级 别 。 

D 类 安全 等 级 ; D 类 安全 等 级 只 包括 D1 一 个 级 别 。D1 的 安全 等 级 最 低 ,D1 系统 只 为 
文件 和 用 户 提 供 安 全 保护 。D1 系统 最 普通 的 形式 是 本 地 操作 系统 ,或 者 是 一 个 完全 没有 保 
护 的 网 络 。 

C 类 安全 等 级 : 该 类 安全 等 级 能 够 提供 审慎 的 保护 ,并 为 用 户 的 行动 和 责任 提供 审计 
能 力 。C 类 安全 等 级 可 划分 为 Cl 和 C2 两 类 。C1 系统 的 可 信任 运算 基础 体制 ,通过 将 用 户 
和 数据 分 开 来 达到 安全 的 目的 。 在 C1 系统 中 ,所 有 的 用 户 以 同样 的 灵敏 度 来 处 理 数据 , 即 
用 户 认为 C1 系统 中 的 所 有 文档 都 具有 相同 的 机 密 性 。C2 系统 比 C1 系统 加 强 了 可 调 的 审 
慎 控 制 。 在 连接 到 网 络 上 时 ,C2 系统 的 用 户 分 别 对 各 自 的 行为 负责 。C2 系统 通过 登录 过 
程 .安全 事件 和 资源 隔离 来 增强 这 种 控制 。C2 系统 具有 C1l 系统 中 所 有 的 安全 性 特征 。 

B 类 安全 等 级 : B 类 安全 等 级 可 分 为 B1、B2 和 B3 三 类 。B 类 系统 具有 强制 性 保护 功 
能 。 强 制 性 保护 意味 着 如 果 用 户 没 有 与 安全 等 级 相连 ,系统 就 不 会 让 用 户 存 取 对 象 。B1 系 
统 满足 下 列 要 求 : 系统 对 网 络 控制 下 的 每 个 对 象 都 进行 灵敏 度 标记 ,系统 使 用 灵敏 度 标记 
作为 所 有 强迫 访问 控制 的 基础 。 系 统 在 把 导入 的 、 非 标记 的 对 象 放 和 人 系统 前 标记 它们 。 灵 
人 敏 度 标记 必须 准确 地 表示 其 所 联系 的 对 象 的 安全 级 别 。 当 系统 管理 员 创建 系统 或 者 增加 新 
的 通信 通道 或 I/O 设备 时 ,管理 员 必 须 指定 每 个 通信 通道 和 1/O 设备 是 单 级 还 是 多 级 ,并 
且 管 理 员 只 能 手工 改变 指定 。 单 级 设备 并 不 保持 传输 信息 的 灵敏 度 级 别 , 所 有 直接 面向 用 
户 位 置 的 输出 (无 论 是 虚拟 的 还 是 物理 的 ) 都 必须 产生 标记 来 指示 关于 输出 对 象 的 灵敏 度 ， 
系统 必须 使 用 用 户 的 口令 或 证 明 来 决定 用 户 的 安全 访问 级 别 , 系 统 必 须 通过 审计 来 记录 未 
授权 访问 的 企图 。 

B2 系统 必须 满足 Bl 系统 的 所 有 要 求 。 另 外 ,B2 系统 的 管理 员 必 须 使 用 一 个 明确 的 、 
文档 化 的 安全 策略 模式 作为 系统 的 可 信任 运算 基础 体制 。B2 系统 必须 满足 下 列 要 求 : 系 
统 必须 立即 通知 系统 中 的 每 一 个 用 户 所 有 与 之 相关 的 网 络 连接 的 改变 。 只 有 用 户 能 够 在 可 
信任 通信 路 径 中 进行 初始 化 通信 ,可 信任 运算 基础 体制 能 够 支持 独立 的 操作 者 和 管理 员 。 

B3 系统 必须 符合 B2 系统 的 所 有 安全 需求 。B3 系统 具有 很 强 的 监视 委托 管理 访问 能 
力 和 抗 干扰 能 力 。B3 系统 必须 设 有 安全 管理 员 。B3 系统 应 满足 以 下 要 求 : 除了 控制 对 个 
别 对 象 的 访问 外 ,B3 必须 产生 一 个 可 读 的 安全 列表 ,每 个 被 命名 的 对 象 提供 对 该 对 象 没有 
访问 权 的 用 户 列表 说 明 ,B3 系统 在 进行 任何 操作 前 ,要 求 用 户 进行 身份 验证 。B3 系统 验证 
每 个 用 户 ,同时 还 会 发 送 一 个 取消 访问 的 审计 跟踪 消息 。 设 计 者 必须 正确 区 分 可 信任 的 通 
信 路 径 和 其 他 路 径 , 可 信任 的 通信 基础 体制 为 每 一 个 被 命名 的 对 象 建立 安全 审计 跟踪 ,可 信 


任 的 运算 基础 体制 支持 独立 的 安全 管理 。 

A 类 安全 等 级 : A 系统 的 安全 级 别 最 高 。 目 前 ,A 类 安全 等 级 只 包含 Al 一 个 安全 类 
别 。Al 类 与 B3 类 相似 ,对 系统 的 结构 和 策略 不 作 特 别 要 求 。Al 系统 的 显著 特征 是 ,系统 
的 设计 者 必须 按照 一 个 正式 的 设计 规范 来 分 析 系 统 。 对 系统 分 析 后 ,设计 者 必须 运用 核对 
技术 来 确保 系统 符合 设计 规范 。Al 系统 必须 满足 下 列 要 求 : 系统 管理 员 必 须 从 开发 者 那 
里 接收 到 一 个 安全 策略 的 正式 模型 ,所 有 的 安装 操作 都 必须 由 系统 管理 员 进 行 ,系统 管理 员 
进行 的 每 一 步 安装 操作 都 必须 有 正式 文档 。 
3.1.2 欧洲 的 安全 评价 标准 

欧洲 的 安全 评价 标准 一 一 ITSEC 是 欧洲 多 国安 全 评价 方法 的 综合 产物 ,应 用 领域 为 军 
队 政府 和 商业 。 该 标准 将 安全 概念 分 为 功能 与 评估 两 部 分 。 功 能 准则 从 F1 一 F10 共 分 10 
级 。1~5 级 对 应 于 TCSEC 的 D~A。F6 一 Fl10 级 分 别 对 应 数据 和 程序 的 完整 性 .系统 的 
可 用 性 ,数据 通信 的 完整 性 .数据 通信 的 保密 性 以 及 机 密 性 和 完整 性 的 网 络 安全 。 评 估 准 则 
分 为 6 级 ,分 别 是 测试 .配置 控制 和 可 控 的 分 配 、 能 访问 详细 设计 和 源码 .详细 的 脆弱 性 分 
析 、 设 计 与 源码 明显 对 应 以 及 设计 与 源码 在 形式 上 一 致 。 
3.1.3 ”加拿大 的 评价 标准 

加 拿 大 的 评价 标准 一 一 CTCPEC 专门 针对 政府 需求 而 设计 。 与 ITSEC 类 似 ,该 标准 
将 安全 分 为 功能 性 需求 和 保证 性 需要 两 部 分 。 功 能 性 需求 共 划 分 为 四 大 类 : 机 密 性 、 完 整 
性 、 可 用 性 和 可 控 性 。 每 种 安全 需求 又 可 以 分 成 很 多 小 类 ,来 表示 安全 性 上 的 差别 ,分 级 条 
数 为 0 一 5 级 。 


3.1.4 美国 联邦 准则 


美国 联邦 准则 一 一 FC 是 对 TCSEC 的 升级 ,并 引入 了 “保护 轮廓 ”(PP) 的 概念 。 每 个 轮 
廓 都 包括 功能 、 开 发 保证 和 评价 三 部 分 。FC 充分 吸取 了 ITSEC 和 CTCPEC 的 优点 ,在 美 
国 的 政府 .民间 和 商业 领域 得 到 广泛 应 用 。 但 FC 有 很 多 缺陷 ,是 一 个 过 渡 标准 ,后 来 结合 
ITSEC 发 展 为 国际 通用 准则 。 


3.1.5 国际 通用 准则 


国际 通用 准则 一 一 CC 是 国际 标准 化 组 织 统一 现 有 多 种 准则 的 结果 ,是 目前 最 全 面 的 评价 
准则 。1996 年 6 月 ,CC 第 一 版 发 布 ; 1998 年 5 月 ,CC 第 二 版 发 布 ; 1999 年 10 月 CC v2.1 
版 发 布 , 并 且 成 为 ISO 标准 。CC 的 主要 思想 和 框架 都 取 自 ITSEC 和 FC, 并 充分 突出 了 “ 保 
护 轮廓 ?的 概念 。CC 将 评估 过 程 划 分 为 功能 和 保证 两 部 分 ,评估 等 级 分 为 eall ,eal2 .eal3、 
eal4 eal5 .eal6 和 eal7 共 7 个 等 级 。 每 一 级 均 需 评估 7 个 功能 类 ,分 别 是 配置 管理 ,分 发 和 
操作 、 开 发 过 程 、 指 导 文 献 、 生 命 期 的 技术 支持 ,测试 和 脆弱 性 评估 。 


3.2 我 国安 全 标准 简介 


我 国信 息 安全 研究 经 历 了 通信 保密 、 计 算 机 数据 保护 两 个 发 展 阶段 ,正在 进入 网 络 信 息 
安全 的 研究 阶段 。 通 过 学 习 、 吸 收 ` 消 化 TCSEC 的 原则 进行 了 安全 操作 系统 、 多 级 安全 数 
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据 库 的 研制 ,但 由 于 系统 安全 内 核 受 控 于 人 ,以 及 国外 产品 的 不 断 更 新 升级 ,基于 具体 产品 
的 增强 安全 功能 的 成 果 ,难以 保证 没有 漏洞 ,难以 得 到 推广 应 用 。 在 学 习 借 鉴 国外 技术 的 基 
础 上 ,国内 一 些 部 门 也 开发 研制 了 一 些 防 火 墙 、 安 全 路 由 器 、 安 全 网 关 、 黑 客人 侵 检测 、 系 统 
脆弱 性 扫描 软件 等 。 但 是 ,这 些 产品 安全 技术 的 完善 性 、 规 范 化 实用 性 还 存在 许多 不 足 , 特 
别 是 在 多 平台 的 兼容 性 及 安全 工具 的 协作 配合 和 互动 性 方面 存在 很 大 距离 ,理论 基础 和 自 
主 的 技术 手段 也 需要 发 展 和 强化 。 

以 前 ,国内 主要 是 等 同 采用 国际 标准 。 现 在 ,由 公安 部 主持 制定 .国家 技术 标准 局 发 布 
的 中 华人 民 共 和 国 国家 标准 GB17895 一 1999《 计 算 机 信息 系统 安全 保护 等 级 划分 准则 ) 已 
经 正式 颁布 并 使 用 了 。 该 准则 将 信息 系统 安全 分 为 五 个 等 级 ,分 别 是 用 户 自主 保护 级 、 系 统 
审计 保护 级 、 安 全 标记 保护 级 、 结 构 化 保护 级 和 访问 验证 保护 级 。 主 要 的 安全 考核 指标 有 身 
份 认证 、 自 主 访问 控制 ,数据 完整 性 、 审 计 、 隐 项 信道 分 析 、 客 体重 用 、 强 制 访问 控制 安全 标 
记 、 可 信和 路径 和 可 信人 恢 复 等 ,这 些 指标 涵盖 了 不 同 级 别 的 安全 要 求 。 


3.2.1 第 一 级 ”用户 自主 保护 级 


本 级 的 可 信 计 算 基 通过 隔离 用 户 与 数据 ,使 用 户 具备 自主 安全 保护 的 能 力 。 它 具有 多 
种 形式 的 控制 能 力 ,对 用 户 实施 访问 控制 , 即 为 用 户 提供 可 行 的 手段 ,保护 用 户 和 用 户 组 信 
息 ,避免 其 他 用 户 对 数据 的 非法 读 写 与 破坏 。 有 具体 表现 在 如 下 几 个 方面 : 

(1) 可 信 计 算 基 定义 和 控制 系统 中 命名 用 户 对 命名 客体 的 访问 。 实 施 机 制 (例如 ,访问 
控制 表 ) 人 允许 命名 用 户 以 用 户 和 (或 ) 用 户 组 的 身份 规定 并 控制 客体 的 共享 ,阻止 非 授权 用 户 
读 取 人 敏感 信息 。 

(2) 可 信 计 算 基 初始 执行 时 ,首先 要 求 用 户 标识 自己 的 身份 ,并 使 用 保护 机 制 (例如 , 口 
令 ) 来 鉴别 用 户 的 身份 ,阻止 非 授权 用 户 访问 用 户 身份 鉴别 数据 。 

(3) 可 信 计 算 基 通过 自主 完整 性 策略 ,阻止 非 授权 用 户 修 改 或 破坏 敏感 信息 。 


3.2.2 第 二 级 系统 审计 保护 级 


与 用 户 自 主 保护 级 相 比 ,本 级 的 可 信 计 算 基 实施 了 粒度 更 细 的 自主 访问 控制 , 它 通 过 登 
录 规程 .审计 安全 性 相关 事件 和 隔离 资源 ,使 用 户 对 自己 的 行为 负责 。 它 增加 了 客体 重用 以 
及 安全 审计 方面 的 内 容 ,并 进一步 增强 了 自主 访问 控制 以 及 身份 鉴别 机 制 ,具体 表 现在 : 

(1) 自主 访问 控制 机 制 根据 用 户 指定 方式 或 默认 方式 ,阻止 非 授权 用 户 访问 客体 。 访 
问 控制 的 粒度 是 单个 用 户 。 控 制 访问 权限 扩散 ,没有 存 取 权 的 用 户 只 允许 由 授权 用 户 指定 
对 客体 的 访问 权 。 

(2) 通过 为 用 户 提供 唯一 标识 .可 信 计 算 基 能 够 使 用 户 对 自己 的 行为 负责 。 可 信 计 算 
基 还 具备 将 身份 标识 与 该 用 户 所 有 可 审计 行为 相关 联 的 能 力 。 

(3) 在 可 信 计 算 基 的 空闲 存储 客体 空间 中 ,对 客体 初始 指定 、 分 配 或 再 分 配 一 个 主体 之 
前 ,撤销 该 客体 所 含 信息 的 所 有 授权 。 当 主体 获得 对 一 个 已 被 释放 的 客体 的 访问 权时 ,当前 
主体 不 能 获得 原 主体 活动 所 产生 的 任何 信息 。 

(4) 可 信 计 算 基 能 创建 和 维护 受 保护 客体 的 访问 审计 跟踪 记录 ,并 能 阻止 非 授 权 的 用 
户 对 它 访问 或 破坏 。 可 信 计 算 基 能 记录 下 述 事 件 : 使 用 身份 鉴别 机 制 ; 将 客体 引入 用 户 地 
址 空间 (例如 ,打开 文件 ,程序 初始 化 ); 删除 客体 ; 由 操作 员 、 系 统管 理 员 或 (和 ) 系 统 安全 


管理 员 实施 的 动作 ,以 及 其 他 与 系统 安全 有 关 的 事件 。 对 于 每 一 事件 ,其 审计 记录 包括 事件 
的 日 期 和 时 间 、 用 户 、 事 件 类 型 .事件 是 否 成 功 。 对 于 身份 鉴别 事件 ,审计 记录 包含 的 来 源 
(例如 ,终端 标识 符 ); 对 于 客体 引入 用 户 地 址 空间 的 事件 及 客体 删除 事件 ,审计 记录 包含 客 
体 名 。 对 不 能 由 可 信 计 算 基 独立 分 辩 的 审计 事件 ,审计 机 制 提供 审计 记录 接口 ,可 由 授权 主 
体 调用 。 这 些 审计 记录 区 别 于 可 信 计 算 基 独立 分 辨 的 审计 记录 。 


3.2.3 第 三 级 安全 标记 保护 级 


本 级 的 可 信 计 算 基 具有 系统 审计 保护 级 的 所 有 功能 。 此 外 ,还 提供 有 关 安全 策略 模型 、 
数据 标记 以 及 主体 对 客体 强制 访问 控制 的 非 形式 化 描述 ; 具有 准确 地 标记 输出 信息 的 能 
力 ; 消除 通过 测试 发 现 的 任何 错误 。 它 增加 了 强制 访问 控制 机 制 ,具体 表现 为 ， 

(1) 可 信 计 算 基 对 所 有 主体 及 其 所 控制 的 客体 (例如 ,进程 文件. 段 . 设备) 实施 强制 访 
问 控制 。 为 这 些 主体 及 客体 指定 敏感 标记 ,这 些 标记 是 等 级 分 类 和 非 等 级 类 别 的 组 合 , 它 们 
是 实施 强制 访问 控制 的 依据 。 可 信 计 算 基 支持 两 种 或 两 种 以 上 成 分 组 成 的 安全 级 。 可 信 计 
算 基 控制 的 所 有 主体 对 客体 的 访问 应 满足 : 仅 当主 体 安 全 级 中 的 等 级 分 类 高 于 或 等 于 客体 
安全 级 中 的 等 级 分 类 , 且 主 体 安 全 级 中 的 非 等 级 类 别 包含 了 客体 安全 级 中 的 全 部 非 等 级 类 
别 ,主体 才能 读 客体 ; 仅 当 主体 安全 级 中 的 等 级 分 类 低 于 或 等 于 客体 安全 级 中 的 等 级 分 类 ， 
且 主 体 安全 级 中 的 非 等 级 类 别 包 含 了 客体 安全 级 中 的 非 等 级 类 别 , 主 体 才 能 写 一 个 客体 。 
可 信 计 算 基 使 用 身份 和 鉴别 数据 ,鉴别 用 户 的 身份 ,并 保证 用 户 创建 的 可 信 计 算 基 外 部 主体 
的 安全 级 和 授权 受 该 用 户 的 安全 级 和 授权 的 控制 。 

(2) 可 信 计 算 基 应 维护 与 主体 及 其 控制 的 存储 客体 (例如 ,进程 ,文件 . 段 . 设 备 ) 相 关 的 
敏感 标记 。 这 些 标记 是 实施 强制 访问 的 基础 。 为 了 输入 未 加 安全 标记 的 数据 ,可 信 计 算 基 
向 授权 用 户 要 求 并 接受 这 些 数据 的 安全 级 别 , 且 可 由 可 信 计 算 基 审计 。 

(3) 在 审计 记录 的 内 容 中 ,对 于 客体 引入 用 户 地址 空间 的 事件 及 客体 删除 事件 ,审计 记 
录 包 含 客体 名 及 客体 的 安全 级 别 。 此 外 ,可 信 计 算 基 具有 审计 更 改 可 读 输 出 记号 的 能 力 。 

(4) 在 网 络 环境 中 ,使 用 完整 性 敏感 标记 来 确信 信息 在 传送 中 未 受 损 。 


3.2.4 第 四 级 结构 化 保护 级 


本 级 的 可 信 计 算 基 建立 于 一 个 明确 定义 的 形式 化 安全 策略 模型 之 上 , 它 要 求 将 第 三 级 
系统 中 的 自主 和 强制 访问 控制 扩展 到 所 有 主体 与 客体 。 此 外 ,还 要 考虑 隐蔽 通道 。 本 级 的 
可 信 计 算 基 必须 结构 化 为 关键 保护 元 素 和 非 关 键 保护 元 素 。 可 信 计 算 基 的 接口 也 必须 明确 
定义 ,使 其 设计 与 实现 能 经 受 更 充分 的 测试 和 更 完整 的 复审 。 加 强 了 鉴别 机 制 ; 支持 系统 
管理 员 和 操作 员 的 职能 ; 提供 可 信 设 施 管理 ; 增强 了 配置 管理 控制 。 系 统 具 有 相当 的 抗 渗 
透 能 力 。 增 加 的 内 容 主要 表现 在 如 下 几 个 方面 : 

(1) 可 信 计 算 基 对 外 部 主体 能 够 直接 或 间接 访问 的 所 有 资源 (例如 ,主体 .存储 客体 和 
输入 输出 资源 ) 实 施 强制 访问 控制 ; 

(2) 可 信 计 算 基 能 够 审计 利用 隐蔽 存储 信道 时 可 能 被 使 用 的 事件 ; 

(3) 系统 开发 者 应 彻底 搜索 隐蔽 存储 信道 ,并 根据 实际 测量 或 工程 估算 确定 每 一 个 被 
标识 信道 的 最 大 带宽 ; 

(4) 对 用 户 的 初始 登录 和 鉴别 ,可 信 计 算 基 在 它 与 用 户 之 间 提 供 可 信 通 信 路 径 。 该 路 
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径 上 的 通信 只 能 由 该 用 户 初始 化 。 
3.2.5 第 五 级 访问 验证 保护 级 


本 级 的 可 信 计 算 基 满 足 引 用 监视 器 需求 。 引 用 监视 器 仲裁 主体 对 客体 的 全 部 访问 。 引 
用 监视 器 本 身 是 抗 自 改 的 ; 必须 足够 小 ,能 够 分 析 和 测试 。 为 了 满足 引用 监视 器 需求 ,可 信 
计算 基 在 其 构造 时 ,排除 那些 对 实施 安全 策略 来 说 并 非 必要 的 代码 ; 在 设计 和 实现 时 ,从 系 
统 工程 角度 将 其 复杂 性 降低 到 最 小 程度 。 支 持 安全 管理 员 职 能 ; 扩充 审计 机 制 , 当 发 生 与 
安全 相关 的 事件 时 发 出 信号 ; 提供 系统 恢复 机 制 。 系 统 具有 很 高 的 抗 渗透 能 力 。 增 加 的 内 
容 主 要 表现 在 如 下 几 个 方面 : 

(1) 在 审计 方面 ,可 信 计 算 基 包 含 能 够 监控 可 审计 安全 事件 发 生 与 积累 的 机 制 , 当 超过 
阔 值 时 ,能够 立即 向 安全 管理 员 发 出 报警 。 并 且 , 如 果 这 些 与 安全 相关 的 事件 继续 发 生 或 积 
累 ,系统 应 以 最 小 的 代价 中 止 它们 ; 

(2) 可 信 路 径 上 的 通信 只 能 由 该 用 户 或 可 信 计 算 基 激活 , 且 在 迎 辑 上 与 其 他 路 径 上 的 
通信 相隔 离 , 且 能 正确 地 加 以 区 分 ， 

(3) 可 信 计 算 基 提供 过 程 和 机 制 ,保证 计算 机 信息 系统 失效 或 中 断后 ,可 以 进行 不 损害 
任何 安全 保护 性 能 的 恢复 。 


3.3 安全 操作 系统 的 基本 特征 


3.3.1 最 小 特权 原则 


最 小 特权 原则 是 系统 安全 中 最 基本 的 原则 之 一 。 所 谓 最 小 特权 指 的 是 “在 完成 某 种 操 
作 时 所 赋予 网 络 中 每 个 主体 (用 户 或 进程 ) 必 不 可 少 的 特权 ”。 最 小 特权 原则 , 则 是 指 “ 应 限 
定 网 络 中 每 个 主体 所 必需 的 最 小 特权 ,确保 可 能 的 事故 .错误 .网 络 部 件 的 复 改 等 原因 造成 
的 损失 最 小 ”。 

最 小 特权 原则 一 方面 给 予 主体 “ 必 不 可 少 ” 的 特权 ,这 就 保证 了 所 有 的 主体 都 能 在 所 赋 
予 的 特权 之 下 完成 所 需要 完成 的 任务 或 操作 ; 另 一 方面 , 它 只 给 予 主 体 “ 必 不 可 少 ” 的 特权 ， 
这 就 限制 了 每 个 主体 所 能 进行 的 操作 。 

最 小 特权 原则 要 求 每 个 用 户 和 程序 在 操作 时 应 当 使 用 尽 可 能 少 的 特权 ,但 允许 主体 以 
参与 某 特 定 工作 所 需要 的 最 小 特权 去 进入 系统 。 被 授权 拥有 强力 角色 的 主体 ,不 需要 动 辑 
运用 到 其 所 有 的 特权 ,只 有 在 那些 特权 有 实际 需求 时 ,主体 才 去 运用 它们 。 如 此 一 来 ,将 减 
少 由 于 不 注意 的 错误 或 是 侵入 者 假装 合法 主体 所 造成 的 损坏 发 生 , 限 制 了 事故 、 错 误 或 攻击 
带 来 的 危害 。 它 还 减少 了 特权 程序 之 间 潜 在 的 相互 作用 ,从 而 使 对 特权 无 意 的 、 没 必要 的 或 
不 适当 的 使 用 不 太 可 能 发 生 。 这 种 想法 还 可 以 引申 到 程序 内 部 : 只 有 程序 中 需要 那些 特权 
的 最 小 部 分 才 拥有 特权 。 


3.3.2 自主 访问 控制 和 强制 访问 控制 


自主 访问 控制 (DAC) 是 一 个 接 入 控制 服务 , 它 执行 基于 系统 实体 身份 和 它们 到 系统 资 
源 的 接 入 授权 。 这 包括 在 文件 .文件 夹 和 共享 资源 中 设置 许可 。 


强制 访问 控制 (MAC) 是 “强加 ”给 访问 主体 的 , 即 系统 强制 主体 服从 访问 控制 政策 。 强 
制 访问 控制 的 主要 特征 是 对 所 有 主体 及 其 所 控制 的 客体 (例如 ,进程 文件 、 段 ,设备 ) 实 施 强 
制 访问 控制 。 为 这 些 主体 及 客体 指定 敏感 标记 ,这 些 标 记 是 等 级 分 类 和 非 等 级 类 别 的 组 合 ， 
它们 是 实施 强制 访问 控制 的 依据 。 系 统 通 过 比较 主体 和 客体 的 敏感 标记 来 决定 一 个 主体 是 
否 能 够 访问 某 个 客体 。 用 户 的 程序 不 能 改变 他 自己 及 任何 其 他 客体 的 敏感 标记 ,从 而 系统 
可 以 防止 特洛伊 木马 的 攻击 。 

强制 访问 控制 一 般 与 自主 访问 控制 结合 使 用 ,并 且 实 施 一 些 附 加 的 、 更 强 的 访问 限制 。 
一 个 主体 只 有 通过 了 自主 与 强制 性 访问 限制 检查 后 ,才能 访问 某 个 客体 。 用 户 可 以 利用 自 
主 访问 控制 来 防范 其 他 用 户 对 自己 客体 的 攻击 ,由 于 用 户 不 能 直接 改变 强制 访问 控制 属性 ， 
所 以 强制 访问 控制 提供 了 一 个 不 可 逾越 的 、 更 强 的 安全 保护 层 以 防止 其 他 用 户 偶 然 或 故意 
地 滥用 自主 访问 控制 。 

强制 访问 策略 将 每 个 用 户 及 文件 赋予 一 个 访问 级 别 ,如 最 高 秘密 级 T(Top Secret) 、 秘 
密级 S(Secret) ,机 密级 C(Confidential) 及 无 级 别 级 U(CUnclassified) 。 其 级 别 为 T 之 S 二 
C>U, 系 统 根据 主体 和 客体 的 敏感 标记 来 决定 访问 模式 。 访 问 模式 包括 : 

。 下 读 (read down) ”用 户 级 别 大 于 文件 级 别 的 读 操作 。 

。 上 写 (write up) 用 户 级 别 小 于 文件 级 别 的 写 操作 。 

。 下 写 (write down) 用 户 级 别 等 于 文件 级 别 的 写 操作 。 

。 上 读 (read up) ”用 户 级 别 小 于 文件 级 别 的 读 操作 。 


3.3.3 安全 审计 功能 


安全 审计 是 识别 与 防止 网 络 攻击 行为 .追查 网 络 泄密 行为 的 重要 措施 之 一 。 具 体 包括 
两 方面 的 内 容 : 一 是 采用 网 络 监控 与 人 侵 防范 系统 ,识别 网 络 各 种 违规 操作 与 攻击 行为 , 即 
时 响应 (如 报警 ) 并 进行 阻 断 ; 二 是 对 信息 内 容 的 审计 ,可 以 防止 内 部 机 密 或 敏感 信息 的 非 
法 泄露 。 

审计 作为 安全 系统 的 重要 组 成 部 分 ,在 美国 的 TCSEC 中 对 于 安全 审计 的 定义 是 这 样 
的 : 一 个 安全 系统 中 的 安全 审计 系统 ,是 对 系统 中 任 一 或 所 有 安全 相关 事件 进行 记录 、 分 析 
和 再 现 的 处 理 系统 。 因 此 ,在 TCSEC 中 规定 了 对 于 安全 审计 系统 的 一 般 要 求 ,主要 包括 如 
下 的 五 个 方面 : 

(1) 记录 与 再 现 , 要 求 安全 审计 系统 必须 能 够 记录 系统 中 所 有 的 安全 相关 事件 ,同时 ， 
如 果 有 必要 ,应 该 能 够 再 现 产 生 系 统 某 一 状态 的 主要 行为 ; 

(2) 入 侵 检测 ,安全 审计 系统 应 该 能 够 检查 出 大 多 数 常见 的 系统 入 侵 的 行为 ,同时 ,经 
过 适当 的 设计 ,应 该 能 够 阻止 这 些 和 人 侵 行为 ; 

(3) 记录 入 侵 行 为 ,安全 审计 系统 应 该 记录 所 有 的 入 侵 行 为 ,即使 某 次 入 侵 已 经 成 功 ， 
这 也 是 事后 调查 取证 和 系统 恢复 必需 的 ; 

(4) 威慑 作用 ,应 该 对 系统 中 具有 的 安全 审计 系统 及 其 性 能 进行 适当 宣传 ,这 样 可 以 对 
企图 入 侵 者 起 到 威慑 作用 ,又 可 以 减少 合法 用 户 在 无 意 中 违 反 系统 的 安全 策 赂 ; 

(5) 系统 本 身 的 安全 性 ,安全 审计 系统 本 身 的 安全 性 必须 保证 ,这 包括 两 个 方面 的 内 
容 , 一 是 操作 系统 和 软件 的 安全 性 , 另 一 个 是 审计 数据 的 安全 性 ; 一 般 来 说 ,要 保证 审计 系 
统 本 身 的 安全 ,必须 与 系统 中 其 他 安全 措施 (例如 认证 ,授权 、 加 密 等 ) 相 配合 。 
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另外 ,TCSEC 还 要 求 C2 级 以 上 的 安全 操作 系统 必须 包含 审计 功能 。 我 国 计 算 机 信息 
系统 安全 保护 等 级 划分 准则 (GB 17859 一 1999) 对 安全 审计 也 有 相应 的 要 求 。 审 计 为 系统 进 
行事 故 原因 的 查询 ,定位 、 事 故 发 生前 的 预测 ,报警 以 及 事故 发 生 之 后 的 实时 处 理 提供 详细 、 
可 靠 的 依据 和 支持 ,以 便 有 违反 系统 安全 规则 的 事件 发 生 后 能 够 有 效 地 追查 事件 发 生 的 地 
点 和 过 程 。 


3.3.4 安全 域 隔离 功能 


安全 域 是 指 在 其 中 实施 认证 ,授权 和 访问 控制 的 安全 策略 的 计算 环境 。 当 用 户 安装 和 
配置 操作 系统 时 ,将 创建 称 为 管理 域 的 初始 安全 域 。 安 全 域 理论 不 仅 为 建设 信息 安全 保障 
体系 提供 基础 ,而 且 在 风险 评估 当中 如 果 能 较 好 地 应 用 安全 域 ,还 会 起 到 事半功倍 的 作用 。 
安全 域 可 以 将 一 个 单独 资产 联系 起 来 ,在 等 级 保护 当中 也 有 比较 好 的 应 用 。 总 之 ,安全 域 理 
论 是 安全 方面 的 最 佳 实践 ,对 于 信息 安全 建设 具有 非常 重要 的 指导 意义 。 


3.4 Windows 2003 的 安全 设置 


3.4.1 Windows 安全 漏洞 及 其 解决 建议 


Windows 系统 上 的 重大 安全 漏洞 ,主要 包括 两 大 部 分 : Windows 服务 器 安全 漏洞 和 工 
作 站 的 安全 漏洞 。 

对 于 这 些 安全 漏洞 更 佳 的 解决 方案 是 建设 一 个 强壮 的 防火 墙 , 精 心地 配置 它 , 只 授权 给 
可 信赖 的 主机 能 通过 防火 墙 。 在 防火 墙 上 ,截止 所 有 从 端口 137 一 139 的 TCP 和 UDP 连 
接 ,这 样 做 有 助 于 对 远程 连接 的 控制 。 另 外 ,在 内 部 路 由 器 上 ,设置 ACL, 在 各 个 独立 子 网 
之 间 ,截止 从 端口 137 一 139 的 连接 。 这 是 一 种 辅助 措施 ,以 限制 该 安全 漏洞 。 值 得 注意 的 
是 ,有 些 黑客 程序 可 以 具有 选择 端口 号 的 能 力 , 它 可 能 成 功 地 攻击 其 他 端口 。 


3.4.2 Windows 2003 的 认证 机 制 


Windows 2003 身份 认证 的 重要 功能 就 是 它 对 单一 注册 的 支持 。 单 一 注册 允许 用 户 使 
用 一 个 密码 一 次 登录 到 域 ,然后 向 域 中 的 任何 计算 机 认证 身份 。 

单一 注册 在 安全 性 方面 提供 了 两 个 主要 优点 : 对 用 户 而 言 ,单个 密码 或 智能 卡 的 使 用 
减少 了 混乱 ,提高 了 工作 效率 ; 对 管理 员 而 言 , 由 于 管理 员 只 需要 为 每 个 用 户 管理 一 个 账 
户 , 域 用 户 所 要 求 的 管理 支持 减少 了 。 

身份 认证 分 以 下 两 种 方式 执行 : 

(1) 交互 式 登录 。 交 互 式 登录 过 程 向 域 账户 或 本 地 计算 机 确认 用 户 的 身份 ,这 一 过 程 
根据 用 户 账户 的 类 型 而 不 同 。 如 果 使 用 域 账户 登录 ,被 授权 的 用 户 可 以 访问 该 域 以 及 任何 
信任 域 中 的 资源 。 如 果 使 用 密码 登录 到 域 账户 ,Windows 2003 将 使 用 Kerberos V5 进行 身 
份 认证 。 如 果 使 用 智能 卡 ,Windows 2003 将 使 用 带 证 书 的 Kerberos V5 身份 认证 。 

(2) 网 络 身 份 认 证 。 网 络 身份 认证 确认 用 户 对 于 试图 访问 的 任意 网 络 服务 的 身份 。 为 
了 提供 这 种 类 型 的 身份 认证 ,Windows 2003 安全 系统 支持 多 种 不 同 的 身份 认证 机 制 ,包括 
Kerberos V5、 安 全套 接 字 层 / 传 输 层 安全 (SSL/TLS) 以 及 为 了 与 Windows NT 4.0 兼容 而 


提供 的 NTLM。 
3.4.3 Windows 2003 账号 安全 


(1) 域 用 户 账号 。 域 用 户 账号 是 用 户 访问 域 的 唯一 凭证 ,因此 在 域 中 必须 是 唯一 的 。 
域 用 户 账号 在 域 控制 器 上 建立 ,作为 活动 目录 的 一 个 对 象 保存 在 域 的 数据 库 中 。 用 户 在 从 
域 中 的 任何 一 台 计 算 机 登录 到 域 中 的 时 候 必须 提供 一 个 合法 的 域 用 户 账号 ,该 账号 将 被 域 
控制 器 所 验证 。 

(2) 本 地 用 户 账号 。 本 地 用 户 账 号 只 能 建立 在 Windows 2003 独立 服务 器 上 ,以 控制 用 
户 对 该 计算 机 资源 的 访问 。 

(3) 内 置 的 用 户 账号 。Administrator( 管 理 员 ) 账 号 被 赋予 在 域 中 和 在 计算 机 中 具有 不 
受 限制 的 权利 ,该 账号 被 设计 用 于 对 本 地 计算 机 或 域 进行 管理 ,可 以 从 事 创建 其 他 用 户 账 
号 .创建 组 ,实施 安全 策略 ,管理 打印 机 以 及 分 配 用 户 对 资源 的 访问 权限 等 工作 。Guest( 来 
宾 ) 账 号 一 般 被 用 于 在 域 中 或 计算 机 中 没有 固定 账号 的 用 户 临时 访问 域 或 计算 机 时 使 用 的 。 
该 账号 默认 情况 下 不 允许 对 域 或 计算 机 中 的 设置 和 资源 做 永久 性 的 更 改 。 出 于 安全 考虑 ， 
Guest 账号 在 Windows 2003 安装 好 之 后 是 被 屏蔽 的 。 如 果 需 要 ,可 以 手动 启动 ,应 该 注意 
分 配给 该 账号 的 权限 ,该 账号 也 是 黑客 攻击 的 主要 对 象 。 

(4) 账号 命名 约定 。 由 于 账号 在 域 中 的 重要 性 和 唯一 性 ,因此 账号 的 命名 约定 十 分 重 
要 。 一 个 好 的 账号 命名 约定 将 有 助 于 规划 一 个 高 效 的 活动 目录 。Windows 2003 的 账号 命 
名 约定 包括 如 下 内 容 : 

@ 域 用 户 账号 的 用 户 登录 名 在 活动 目录 中 必须 唯一 。 

@ 域 用 户 账号 的 完全 名 称 在 创建 该 用 户 账号 的 域 中 必须 唯一 。 

@ 本 地 用 户 账号 在 创建 该 账号 的 计算 机 上 必须 唯一 。 

@ 如 果 用 户 名 称 有 重复 , 则 应 该 在 账号 上 区 别 出 来 。 

(5) 密码 约定 。 通 常设 定 密码 有 如 下 原则 

@ 尽量 避免 带 有 明显 意义 的 字符 或 数字 的 组 合 , 最 好 采用 大 小 写 和 数字 的 无 意义 混 
合 。 在 不 同安 全 要 求 下 ,规定 最 小 的 密码 长 度 。 通 常 密码 越 长 越 不 易 被 猜 到 (最 长 可 以 达到 
128 位 )。 

@ 对 于 不 同 级 别 的 安全 要 求 ,确定 用 户 的 账号 密码 是 由 管理 员 控制 还 是 由 账号 的 拥有 
者 控制 。 

@ 定期 更 改 密码 ,尽量 使 用 不 同 的 密码 。 有 关 密 码 的 策略 可 以 由 系统 管理 员 在 密码 策 
略 管理 工具 中 加 以 规定 ,以 保护 系统 的 安全 性 。 


3.4.4 Windows 2003 文件 系统 安全 


文件 系统 安全 是 操作 系统 安全 的 核心 。Windows 2003 文件 系统 控制 谁 能 访问 信息 以 
及 他 们 能 做 些 什么 。 即 使 外 层 账号 安全 被 突破 ,攻击 者 还 必须 击败 文件 系统 根据 文件 拥有 
权 和 权限 精心 设置 的 防御 措施 。 当 建立 文件 的 权限 时 ,必须 先 确定 文件 系统 格式 为 
Windows NT 文件 系统 (NTFS) ,当然 也 可 以 使 用 FAT 格式 ,但 是 并 不 支持 文件 级 的 权限 。 
一 旦 已 经 实施 了 NTFS 的 文件 系统 格式 ,就 可 通过 Windows 的 资源 管理 器 直接 来 管理 文 
件 的 安全 。 
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NTFS 权限 及 使 用 有 以 下 几 个 原则 : 

(1) 权限 最 大 原则 。 当 一 个 用 户 同时 属于 多 个 组 ,而 这 些 组 又 有 可 能 被 赋予 了 对 某 种 
资源 的 不 同 访问 权限 , 则 用 户 对 该 资源 最 终 有 效 权限 是 在 这 些 组 中 最 宽松 的 权限 , 即 加 权 权 
限 ,将 所 有 的 权限 加 在 一 起 即 为 该 用 户 的 权限 (“完全 控制 "权限 为 所 有 权限 的 总 和 )。 

(2) 文件 权限 超越 文件 夹 权 限 原 则 。 当 用 户 或 组 对 某 个 文件 夹 以 及 该 文件 夹 下 的 文件 
有 不 同 的 访问 权限 时 ,用 户 对 文件 的 最 终 权 限 是 访问 该 文件 的 权限 , 即 文件 权限 超越 文件 的 
上 级 文件 夹 的 权限 ,用 户 访问 该 文件 夹 下 的 文件 不 受 文件 夹 权限 的 限制 ,而 只 受 被 赋予 的 文 
件 权 限 的 限制 。 

(3) 拒绝 权限 超越 其 他 权限 原则 。 当 用 户 对 某 个 资源 有 拒绝 权限 时 ,该 权限 覆盖 其 他 
任何 权限 , 即 在 访问 该 资源 的 时 候 只 有 拒绝 权限 是 有 效 的 。 当 有 拒绝 权限 时 权限 最 大 法 则 
无 效 。 因 此 对 于 拒绝 权限 的 授予 应 该 慎重 考虑 。 

在 同一 个 NTFS 分 区 内 或 不 同 的 NTFS 分 区 之 间 移 动 或 复制 一 个 文件 或 文件 夹 时 ,该 
文件 或 文件 夹 的 NTFS 权限 会 发 生 不 同 的 变化 。 这 时 NTFS 权限 的 继承 性 就 起 到 了 作用 ， 
关于 NTFS 权限 的 继承 性 有 以 下 几 个 方面 : 

(1) 在 同一 个 NTFS 分 区 内 移动 文件 或 文件 夹 。 在 同一 分 区 内 移动 的 实质 就 是 在 目的 
位 置 将 原 位 置 上 的 文件 或 文件 夹 “ 搬 ”过 来 ,因此 文件 和 文件 夹 仍然 保留 有 在 原 位 置 的 一 切 
NTFS 权限 (准确 地 讲 就 是 该 文件 或 文件 夹 的 权限 不 变 ) 。 

(2) 在 不 同 NTFS 分 区 之 间 移 动 文 件 或 文件 夹 。 在 这 种 情况 下 文件 和 文件 夹 会 继承 目 
的 分 区 中 文件 夹 的 权限 (ACL) ,实质 就 是 在 原 位 置 删除 该 文件 或 文件 夹 , 并 且 在 目的 位 置 
新 建 该 文件 或 文件 夹 ( 要 从 NTFS 分 区 中 移动 文件 或 文件 夹 ,操作 者 必须 具有 相应 的 权限 。 
在 原 位 置 上 必须 有 “修改 ”的 权限 ,在 目的 位 置 上 必须 有 “ 写 " 权 限 )。 

(3) 在 同一 个 NTFS 分 区 内 复制 文件 或 文件 夹 ,在 这 种 情况 下 复制 文件 和 文件 夹 将 继 
承 目的 位 置 中 的 文件 夹 的 权限 。 

(4) 在 不 同 NTFS 分 区 之 间 复 制 文件 或 文件 夹 ,在 这 种 情况 下 复制 文件 和 文件 夹 将 继 
承 目 的 位 置 中 文件 夹 的 权限 ( 当 从 NTFS 分 区 向 FAT 分 区 中 复制 或 移动 文件 和 文件 夹 都 
将 导致 文件 和 文件 夹 的 权限 丢失 ,因为 FAT 分 区 不 支持 NTFS 权限 )。 


3.4.5 Windows 文件 保护 


微软 公司 为 Windows 2000/XP 系统 增添 了 一 项 新 功能 WFP (Windows File 
Protection) 。 这 个 组 件 的 主要 功能 是 ,在 系统 文件 遭 到 意外 删除 ,或 在 安装 / 印 载 应 用 程序 
时 被 无 意识 破坏 后 ,利用 备份 文件 恢复 Windows 系统 。 

初次 安装 Windows XP 时 ,部 分 以 dl、exe、fon、ocx、sys 和 {ff 结尾 的 文件 将 被 WFP 标识 为 
重要 的 系统 文件 ,并 在 dllcache 文件 夹 下 为 这 些 文件 备份 。 在 用 户 使 用 Windows 2000/XP 系 
统 的 过 程 中 ,WFP 将 在 默认 设置 下 把 以 ax、cpl、cpx、dll、exe.fon、inf、ocx、rsp、sys,、tff 和 tlb 
结尾 的 文件 备份 在 WINDOWS\system32\dllcache 文件 夹 下 。 如 果 这 些 系统 文件 被 误 删除 
或 是 被 破坏 ,WFP 能 够 利用 在 dllcache 下 的 备份 文件 ,轻而易举 地 恢复 Windows 的 文件 
系统 。 

由 于 WFP 能 自动 利用 备份 恢复 原 有 系统 文件 ,所 以 不 能 用 一 般 的 方法 升级 装 有 WFP 
的 操作 系统 文件 。 下 面 介绍 几 种 升级 的 常用 方法 : 


(1) 安装 Windows 服务 组 件 。 

(2) 升级 Windows 系统 。 

(3) 运行 hotfix. exe。hotfix 能 自动 更 新 WFP 所 备份 的 系统 文件 。 目 前 大 多 数 hotfix 
程序 已 经 被 打包 在 Windows 服务 组 件 内 。 如 果 安 装 了 Windows XP SP1 ,那么 打开 * 添 加 / 
删除 程序 ”能 看 到 两 个 hotfix 程序 。 

(4) 使 用 Winnt32. exe 运行 系统 的 安装 /升级 程序 。 

此 外 ,还 有 一 种 简单 的 手工 升级 方法 ,把 要 升级 的 文件 复制 到 dllcache 文件 夹 下 ,然后 
WFP 就 能 自动 升级 Windows 文件 系统 。 

在 运行 WFP 程序 之 前 ,用 户 必须 先 以 系统 管理 员 身 份 登录 。 系 统管 理 员 的 身份 会 为 
用 户 修改 与 WFP 有 关 的 配置 提供 相当 方便 的 条 件 。 在 完成 相关 设置 后 ,退出 系统 以 正常 
用 户 身份 再 次 登录 ,这 样 就 可 以 使 用 WFP 了 。 


3.4.6 Windows 2003 的 加 密 机 制 


文件 加 密 系 统 (Encryption File System,EFS) 是 Windows 2003/XP 所 特有 的 一 个 实用 
功能 ,对 于 NTFS 卷 上 的 文件 和 数据 ,都 可 以 直接 被 操作 系统 加 密 保存 ,在 很 大 程度 上 提高 
了 数据 的 安全 性 。 

EFS 加 密 是 基于 公 钥 策略 的 。 在 使 用 EFS 加 密 一 个 文件 或 文件 夹 时 ,系统 首先 会 生成 
一 个 由 伪 随 机 数组 成 的 文件 密 钥 (File Encryption Key,FEK) ,然后 将 利用 FEK 和 数据 扩 
展 标准 X 算 法 创建 加 密 后 的 文件 ,并 把 它 存储 到 硬盘 上 ,同时 删除 未 加 密 的 原始 文件 。 随 
后 系统 利用 公 钥 加 密 FEK ,并 把 加 密 后 的 FEK 存储 在 同一 个 加 密 文件 中 。 而 在 访问 被 加 
密 的 文件 时 ,系统 首先 利用 当前 用 户 的 私 钥 解 密 FEK ,然后 利用 FEK 解密 出 文件 。 在 首次 
使 用 EFS 时 ,如 果 用 户 还 没有 公 钥 / 私 钥 对 (统称 为 密 钥 ), 则 会 首先 生成 密 钥 ,然后 加 密 数 
据 。 如 果 登 录 到 了 域 环境 中 , 密 钥 的 生成 依赖 于 域 控制 器 ,否则 它 就 依赖 于 本 地 机 器 。 

EFS 加 密 有 以 下 两 点 好 处 ,首先 ,EFS 加 密 机 制 和 操作 系统 紧密 结合 ,因此 不 必 为 了 加 
密 数 据 安装 额外 的 软件 ,这 节约 了 使 用 成 本 。 其 次 ,EFS 加 密 系统 对 用 户 是 透明 的 。 这 也 
就 是 说 ,如 果 加 密 了 一 些 数据 ,那么 对 这 些 数 据 的 访问 将 是 完全 允许 的 ,并 不 会 受到 任何 限 
制 。 而 其 他 非 授权 用 户 试图 访问 加 密 过 的 数据 时 ,就 会 收 到 “访问 拒绝 ”的 错误 提示 。EFS 
加 密 的 用 户 验 证 过 程 是 在 登录 Windows 时 进行 的 ,只 要 登录 到 Windows, 就 可 以 打开 任何 
一 个 被 授权 的 加 密 文件 。 

要 使 用 EFS 加 密 , 首 先 要 保证 操作 系统 符合 要 求 。 目 前 支持 EFS 加 密 的 Windows 操 
作 系 统 主 要 有 Windows 2000、Windows Server 2003 全 部 版 本 和 Windows XP 
Professional。 其 次 ,EFS 加 密 只 对 NTFS 5 分 区 上 的 数据 有 效 (注意 ,这 里 提 到 了 NTFS 5 
分 区 ,这 是 指 由 Windows 2003/XP 格式 化 过 的 NTFS 分 区 ; 而 由 Windows NT 格式 化 的 
NTFS 分 区 是 NTFS 4 格式 的 ,虽然 同样 是 NTFS 文件 系统 ,但 它 不 支持 EFS 加 密 ) ,无 法 
加 密 保存 在 FAT 和 FAT 32 分 区 上 的 数据 。 

对 于 想 加 密 的 文件 或 文件 夹 , 只 需要 用 鼠标 右键 单 击 , 然 后 选择 “属性 ”, 在 常规 选项 卡 
下 单 击 “ 高 级 ”按钮 ,之 后 在 弹出 的 窗口 中 选中 “加 密 内 容 以 保护 数据 ”, 然 后 单 击 “ 确 定 ” 按 
钮 ,等 待 片刻 数据 就 加 密 好 了 。 如 果 加 密 的 是 一 个 文件 夹 ,系统 还 会 询问 ,是 把 这 个 加 密 属 
性 应 用 到 文件 夹 上 还 是 文件 夹 以 及 内 部 的 所 有 子 文件 夹 。 按 照 实 际 情况 来 操作 即 可 。 解 密 
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数据 也 是 很 简单 的 ,同样 是 按照 上 面 的 方法 ,把 “加 密 内 容 以 保护 数据 ”前 的 钧 消除 ,然后 单 

注意 : 如 果 把 未 加 密 的 文件 复制 到 具有 加 密 属 性 的 文件 夹 中 ,这 些 文件 将 会 被 自动 加 

密 。 若 是 将 加 密 数 据 移 出 来 ,如 果 移 动 到 NTFS 分 区 上 ,数据 依旧 保持 加 密 属性 ; 如 果 移 动 

到 FAT 分 区 上 ,这 些 数据 将 会 被 自动 解密 。 被 EFS 加 密 过 的 数据 不 能 在 Windows 中 直接 

共享 。 如果 通过 网 络 传输 经 EFS 加 密 过 的 数据 ,这 些 数 据 在 网 络 上 将 会 以 明文 的 形式 传 

输 。NTFS 分 区 上 保存 的 数据 还 可 以 被 压缩 ,不 过 一 个 文件 不 能 同时 被 压缩 和 加 密 。 最 后 
一 点 ,Windows 的 系统 文件 和 系统 文件 夹 无 法 被 加 密 。 


3.4.7 Windows 2003 的 安全 配置 


安全 配置 是 侧重 于 减少 攻击 面 的 安全 策略 设置 工具 。 使 用 安全 配置 可 以 执行 以 下 
操作 : 

禁用 不 必要 的 端口 和 服务 .配置 Microsoft Windows 防火 墙 . 配 置 Internet 协议 安全 
(IPSEC) 筛选 器 、 配 置 轻型 目录 访问 协议 (LDAP) 设置 .配置 服务 器 消息 块 (SMB) 设置 配 
置 NTLM 协议 设置 配置 预定 义 的 审核 设置 等 。 

常用 的 安全 配置 组 件 有 本 地 安全 策略 .组 策略 .注册 表 编 辑 器 .防火 墙 设 置 .计算 机 管 
理 、 服 务 等 ,这 些 组 件 的 应 用 在 第 12 章 中 将 会 详细 讲解 ,下 面 只 对 本 地 安全 策略 和 组 策略 进 
行 简单 的 介绍 。 

1. 本 地 安全 策略 

Windows 系统 自 带 的 “本 地 安全 策略 ”是 一 个 很 不 错 的 系统 安全 管理 工具 。 它 可 以 对 
本 机 的 许多 属性 (例如 用 户 .密码 .审核 ,用户 权 限 分 配 等 ) 进 行 设置 ,这 些 设置 只 影响 本 计算 
机 的 安全 设置 。 

启用 Windows 2003 的 管理 工具 “本 地 安全 策略 ”, 依 次 选择 “开始 ”一 “程序 ”>“ 管 理工 
有 具 ”一 “本 地 安全 策略 "命令 ,打开 “本 地 安全 设置 "窗口 ,如 图 3.2 所 示 , 主 要 包括 “账户 策 
略 ”“ 本 地 策略 ”\IP 安全 策略 配置 等 。 
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图 3.2 系统 安全 配置 


2. 组 策略 

所 谓 组 策略 ,顾名思义 ,就 是 基于 组 的 策略 。 它 以 Windows 中 的 一 个 MMC 管理 单元 
的 形式 存在 ,可 以 帮助 系统 管理 员 针对 整个 计算 机 或 是 特定 用 户 来 设置 多 种 配置 ,包括 桌面 
配置 和 安全 配置 。 壁 如 ,可 以 为 特定 用 户 或 用 户 组 定制 可 用 的 程序 桌面 上 的 内 容 , 以 及 “ 
始 ” 菜 单 选项 等 ,也 可 以 在 整个 计算 机 范围 内 创建 特殊 的 桌面 配置 。 简 而 言 之 ,组 策略 是 
Windows 中 的 一 bi tenth 组 策略 修改 注册 表 中 的 配置 。 当 然 ， 
组 策略 使 用 自己 更 完善 的 管理 组 织 方法 ,可 以 对 各 种 对 象 中 的 设置 进行 管理 和 配置 , 远 比 手 
工 修改 注册 表 方 便 、 ht 

组 策略 编辑 器 的 启动 很 简单 ,只 需 选 择 “ 开 始 ”" 一 “运行 ”命令 ,在 “运行 "对 话 框 中 输入 
gpedit. msc, 然 后 单 击 “ 确 定 ” 按 钮 即 可 启动 Windows XP 组 策略 编辑 器 。 

例如 要 启动 Windows 的 文件 保护 功能 ,只 需 打开 “组 策略 "窗口 ,在 左 侧 列表 里 展开 * 计 
算 机 设置 ”一 “管理 模板 ”>“ 系 统一“Windows 文件 保护 ”, 在 右 侧 列表 中 显示 已 有 的 文件 
保护 策略 ,如 图 3. 3 所 示 , 双 击 列表 中 的 某 项 ,打开 设置 窗口 。 在 该 窗口 中 可 设置 “已 启用 ” 
这 一 项 安全 策略 。 这 样 就 实现 了 Windows 的 文件 保护 功能 。 
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图 3.3 Windows 文件 保护 


3.4.8 Windows 2003 文件 和 数据 的 备份 


如 果 系 统 的 硬件 或 存储 媒体 发 生 故 障 ,“ 备 份 工 具 可 以 帮助 用 户 保护 数据 免 受 意外 的 
损失 。 例 如 ,可 以 使 用 “备份 ”创建 硬盘 中 数据 的 副本 ,然后 将 数据 存储 到 其 他 存储 设备 。 备 
份 存储 媒体 既 可 以 是 逻辑 驱动 器 (如 硬盘 ) ,独立 的 存储 设备 (如 可 移动 磁盘 ) ,也 可 以 是 由 
自动 转换 器 组 织 和 控制 的 整个 磁盘 库 或 磁带 库 。 如 果 硬 盘 上 的 原始 数据 被 意外 删除 或 
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覆盖 ,或 因为 硬盘 故障 而 不 能 访问 该 数据 ,那么 可 以 十 分 方便 地 从 存档 副本 中 还 原 该 数 
据 。 为 了 保护 服务 器 ,应 该 安排 对 所 有 数据 进行 定期 备份 。 数 据 备份 的 类 型 大 致 分 为 以 
下 几 种 : 

(1) 副本 备份 ,可 以 复制 所 有 选 定 的 文件 ,但 不 将 这 些 文件 标记 为 已 经 备份 (换言之 ,不 
清除 存档 属性 )。 如 果 要 在 正常 和 增 量 备份 之 间 备份 文件 ,复制 是 很 有 用 的 ,因为 它 不 影响 
其 他 备份 操作 。 

(2) 每 日 备份 ,用 于 复制 执行 每 日 备份 的 当天 修改 过 的 所 有 选 定 文 件 。 备 份 的 文件 将 
不 会 标记 为 已 经 备份 (换言之 ,不 清除 存档 属性 ) 。 

(3) 差异 备份 ,用 于 复制 自 上 次 正常 或 增 量 备份 以 来 所 创建 或 更 改 的 文件 。 它 不 将 文 
件 标记 为 已 经 备份 (换言之 ,不 清除 存档 属性 ) 。 如 果 要 执行 正常 备份 和 差异 备份 的 组 合 , 则 
还 原文 件 和 文件 夹 将 需要 上 次 已 执行 过 正常 备份 和 差异 备份 。 

(4) 增 量 备份 , 仅 备份 自 上 次 正常 或 增 量 备份 以 来 创建 或 更 改 的 文件 。 它 将 文件 标记 
为 已 经 备份 (换言之 ,清除 存档 属性 ) 。 如 果 将 正常 和 增 量 备份 结合 使 用 ,需要 具有 上 次 的 正 
常备 份 集 和 所 有 增 量 备份 集 才 能 还 原 数据 。 

(5) 正常 备份 ,用 于 复制 所 有 选 定 的 文件 ,并 且 在 备份 后 标记 每 个 文件 (换言之 ,清除 存 
档 属性 )。 使 用 正常 备份 ,只 需 备份 文件 或 磁带 的 最 新 副本 就 可 以 还 原 所 有 文件 。 通常, 在 
首次 创建 备份 集 时 执行 一 次 正常 备份 。 

组 合 使 用 正常 备份 和 增 量 备份 来 备份 数据 ,需要 的 存储 空间 最 少 , 并 且 是 最 快 的 备份 方 
法 。 然 而 ,恢复 文件 可 能 比较 耗 时 而 且 比 较 困 难 ,因为 备份 集 可 能 存储 在 不 同 的 磁盘 或 磁 
带 上 。 

组 合 使 用 正常 备份 和 差异 备份 来 备份 数据 更 加 耗 时 ,尤其 当 数据 经 常 更 改 时 ,但 是 它 更 
容易 还 原 数 据 , 因 为 备份 集 通常 只 存储 在 少量 磁盘 和 磁带 上 。 

Windows 2003 自 带 的 备份 工具 如 图 3.4 所 示 ,具体 备份 方法 请 参见 第 12 章 的 内 容 。 


EREE 四 
要 备份 的 项 目 

您 可 以 备份 任何 姐 合 形式 的 驱动 器 、 文 件 天 或 文件 。 栈 
[ 


由 加 是 我 的 电脑 口 时 我 的 电脑 
田口 号 3.5 软盘 和 :) ‖ 回 贸 我 的 文档 
由 回 < 本 地 说 盘 (:) | 口 司 同上 :8 居 
由 - 回 < 二 STSTEN STATE 

由 回国 我 的 文档 

由 - 回 蝎 网 上 邻居 


《上 一 步 @) 取消 


图 3.4 备份 和 还 原 工具 


课 后 习 题 


选择 题 
Windows 主机 推荐 使 用 ( ) 格 式 。 
. NTFS B. FAT32 C. FAT D. LINUX 
对 文件 和 对 象 的 审核 ,错误 的 一 项 是 ( ys 
. 文件 和 对 象 访问 的 成 功 和 失败 B. 用 户 及 组 管理 的 成 功 和 失败 
. 安全 规则 更 改 的 成 功 和 失败 D. 文件 名 更 改 的 成 功 和 失败 
不 属于 服务 器 的 安全 措施 的 是 ( yi 
. 保证 注册 账户 的 时 效 性 
删除 死 账户 
. 强制 用 户 使 用 不 易 被 破解 的 密码 
. 所 有 用 户 使 用 一 次 性 密码 
不 属于 数据 备份 类 型 的 是 ( )s 
. 每 日 备份 B. 差异 备份 C. 增 量 备份 ”DD. 随机 备份 
填空 题 
1. 计算 机 系统 安全 评估 的 第 一 个 正式 标准 是 ( ) 
2. 自主 访问 控制 (DAC) 是 一 个 接 入 控制 服务 , 它 执 行 基于 系统 实体 身份 和 它们 到 系统 
资源 的 接 入 授权 。 这 包括 在 文件 、( ) 和 ( ) 中 设置 许可 。 
3. 安全 审计 是 识别 与 防止 ) .追查 ( ) 的 重要 措施 之 一 。 
4. Windows 系统 上 的 重大 安全 漏洞 ,主要 包括 两 大 部 分 : 〈 ) 和 ( ) 的 安全 
漏洞 。 
5. (人 ) 账 号 一 般 被 用 于 在 域 中 或 计算 机 中 没有 固定 账号 的 用 户 临 时 访问 域 或 计算 
机 时 使 用 的 。 
站 ) 账 号 被 赋予 在 域 中 和 在 计算 机 中 具有 不 受 限制 的 权利 ,该 账号 被 设计 用 于 对 
本 地 计算 机 或 域 进行 管理 ,可 以 从 事 创建 其 他 用 户 账号 .创建 组 .实施 安全 策略 .管理 打印 机 
以 及 分 配 用 户 对 资源 的 访问 权限 等 工作 。 
7. 中 华人 民 共 和 国 国家 标准 GB17895 一 1999《 计 算 机 信息 系统 安全 保护 等 级 划分 准 


"a 


则 已 经 正式 颁布 并 使 用 了 。 该 准则 将 信息 系统 安全 分 为 五 个 等 级 ,分 别 是 自主 保护 级 、 
( x yat ) 和 访问 验证 保护 级 。 
简 答 题 


1. 简 述 TCSEC 中 的 C1、C2.、B1 级 的 主要 安全 要 求 。 

2. 简 述 审核 策略 、 密 码 策略 和 账户 策略 的 含义 。 这 些 策 略 如 何 保护 操作 系统 不 被 入 
侵 ? P206 如 何 关 闭 不 需要 的 端口 和 服务 ? 

3. 计算 机 安全 评价 标准 中 B 类 安全 等 级 都 包括 哪些 内 容 ? 

4. 计算 机 安全 评价 标准 中 A 类 安全 等 级 都 包括 哪些 内 容 ? 

5. 计算 机 信息 系统 安全 保护 等 级 划分 准则 中 将 信息 系统 安全 分 为 几 个 等 级 ? 主要 的 


扣 作 系统 人 安 会 


地 ww 加 


网 络 安 会 与 管理 


安全 考核 指标 是 什么 ? 
6. 安全 操作 系统 的 基本 特征 有 哪些 ? 
7. Windows 2000 的 账号 命名 约定 包括 哪些 内 容 ? 
8. NTFS 的 权限 及 使 用 原则 有 哪些 ? 
9. 有 利于 提高 系统 安全 性 的 设置 有 哪些 ? 
10. 本 地 安全 策略 由 哪 几 部 分 组 成 ? 


第 4 章 密码 技术 


密码 学 是 研究 如 何 隐秘 地 传递 信息 的 学 科 。 在 现代 特别 指 对 信息 以 及 其 传输 的 数学 性 
研究 , 常 被 认为 是 数学 和 计算 机 科学 的 分 支 ,和 信息 论 也 密切 相关 。 著 名 的 密码 学 者 Ron 
Rivest 解释 道 ,“ 密 码 学 是 关于 如 何在 敌人 存在 的 环境 中 通信 ”。 自 工程 学 的 角度 ,这 相当 于 
密码 学 与 纯 数学 的 异同 。 密 码 学 是 信息 安全 等 相关 议题 (如 认证 ,访问 控制 等 ) 的 核心 。 密 
码 学 的 首要 目的 是 隐藏 信息 的 含义 ,而 不 是 隐藏 信息 的 存在 。 密 码 学 也 促进 了 计算 机 科学 
的 发 展 ,特别 是 计算 机 与 网 络 安全 所 使 用 的 技术 ,如 访问 控制 与 信息 的 机 密 性 。 密 码 学 已 被 应 
用 在 日 常生 活 的 各 个 方面 ,这 包括 自动 柜员 机 的 芯片 卡 、. 计 算 机 使 用 者 存 取 密 码 .电子 商务 等 。 

密码 学 的 目的 可 以 概括 为 以 下 三 点 : 

(1) 保障 信息 安全 的 重要 手段 ; 

(2) 防止 信息 泄露 和 失 密 的 有 效 措施 ; 

(3) 提高 关键 信息 保密 水 平 。 


4.1 密码 学 的 起 源 


密码 学 根据 其 研究 的 范围 可 分 为 密码 编码 学 和 密码 分 析 学 。 密 码 编码 学 是 研究 密码 体 
制 的 设计 ,对 信息 进行 编码 实现 隐蔽 信息 的 一 门 学 问 ; 密码 分 析 学 是 研究 如 何 破 译 被 加 密 
信息 或 信息 伪造 的 学 问 。 它 们 是 相互 对 立 、 相 互 依存 .相互 促进 并 发 展 的 。 密 码 学 的 发 展 大 
致 可 以 分 为 三 个 阶段 : 

第 一 阶段 是 从 几 千 年 前 到 1949 年 。 这 一 时 期 密码 学 还 没有 成 为 一 门 真 正 的 科学 ,而 是 
一 门 艺术 。 密 码 学 专家 常常 是 赁 自己 的 直觉 和 信念 来 进行 密码 设计 ,而 对 密码 的 分 析 也 多 
基于 密码 分 析 者 ( 即 破译 者 ) 的 直觉 和 经 验 来 进行 的 。 

世界 上 最 早 的 一 种 密码 产生 于 公元 前 2 世纪 。 是 由 一 位 希腊 人 提出 的 ,人 们 称 之 为 棋盘 
密码 ,因为 该 密码 将 26 个 字母 放 在 5X5 的 方 格 里 ,i,j 放 在 一 个 格子 里 ,具体 情况 如 表 4. 1 
所 示 。 

这 样 , 每 个 字母 就 对 应 了 由 两 个 数 构成 的 字符 a.B,a 是 该 字母 所 在 行 的 标号 ,B 是 列 标 
号 。 如 c 对 应 13,s 对 应 43 等 。 如 果 接 收 到 密 文 为 

43 15 13 45 42 15 32 15 43 43 11 22 15, 则 对 应 的 明文 即 为 secure message。 

另 一 种 具有 代表 性 的 密码 是 凯撒 密码 。 它 是 将 英文 字母 向 前 推移 位。 如 二 5, 则 密 
文字 母 与 明文 有 如 下 对 应 关系 : 

abcdefghijklmnopqrstuvwxyz 

FGHIJKLMNOPQRSTUVWXYZABCDE 


表 4.1 棋盘 密码 
es 列 1 2 3 4 5 
但 
和 a b d e 
区 f g h [9] k 
3 1 m n O p 
4 q 3 S t u 
5 Vv w 4 y Zz 


于 是 对 应 于 明文 secure message, 可 得 密 文 为 XJHZWJRJXXFILJ。 此 时 ,k 就 是 密 钥 。 
为 了 传送 方便 ,可 以 将 26 个 字母 一 一 对 应 于 0 一 25 的 26 个 整数 。 如 a 对 1.b 对 2……y 对 
25 .z 对 0。 这 样 凯 撤 加 密 变 换 实际 就 是 一 个 同 余 式 : 

cm++k mod 26 

其 中 ,m 是 明文 字母 对 应 的 数 ,c 是 与 明文 对 应 的 密 文 的 数 。 

随后 ,为 了 提高 凯 撤 密 码 的 安全 性 ,人 们 对 凯撒 密码 进行 了 改进 。 选 取 k、b 作为 两 个 参 
数 ,其 中 要 求 & 与 26 互 素 , 明 文 与 密 文 的 对 应 规则 为 : 

ckm+b mod 26 

可 以 看 出 ,=1 就 是 前 面 提 到 的 凯撒 密码 。 于 是 这 种 加 密 变 换 是 凯撒 加 密 变换 的 推 
广 ,并 且 其 保密 程度 也 比 凯撒 密码 高 。 

以 上 介绍 的 密码 体制 都 属于 单 表 置 换 。 意 思 是 一 个 明文 字母 对 应 的 密 文字 母 是 确定 
的 。 根 据 这 个 特点 ,利用 频率 分 析 可 以 对 这 样 的 密码 体制 进行 有 效 的 攻击 。 方 法 是 在 大 量 
的 书籍 .报刊 和 文章 中 ,统计 各 个 字母 出 现 的 频率 。 例 如 ,e 出 现 的 次 数 最 多 ,其 次 是 ta\o\l 
等 。 破 译 者 通过 对 密 文中 各 字母 出 现 频率 的 分 析 , 结 合 自然 语言 的 字母 频率 特征 ,就 可 以 将 
该 密码 体制 破译 。 

鉴于 单 表 置 换 密码 体制 具有 这 样 的 攻击 弱点 ,人 们 自然 就 会 想 办 法 对 其 进行 改进 ,来 弥 
补 这 个 弱点 ,增加 抗 攻击 能 力 。 法 国 密码 学 家 维 吉 尼 亚 于 1586 年 提出 一 个 种 多 表 式 密码 ， 
即 一 个 明文 字母 可 以 表示 成 多 个 密 文字 母 。 其 原理 是 这 样 的 : 给 出 密 钥 天 一 AL1]AL2]… 
[nj, 若 明文 为 M=m[1jm[2j…m[xj, 则 对 应 的 密 文 为 C=c[1jcL2j…cLnj。 其 中 CC 一 
(m[ 让 十 k[ 引 ]) mod 26。 例 如 ,车 明文 M 为 data security, 密 钥 A 王 best, 将 明文 分 解 为 长 为 4 
的 序列 data secu rity, 对 每 4 个 字母 ,用 k= 二 best 加 密 后 得 密 文 为 C=EELT TIUN SMLR， 
从 中 可 以 看 出 ,当下 为 一 个 字母 时 ,就 是 凯 撤 密 码 。 而 且 容 易 看 出 ,K 越 长 ,保密 程度 就 越 
高 。 显 然 这 样 的 密码 体制 比 单 表 置 换 密码 体制 具有 更 强 的 抗 攻 击 能 力 ,而 且 其 加 密 、 解 密 均 
可 用 所 谓 的 维 吉 尼 亚 方 阵 来 进行 ,从 而 在 操作 上 简单 易 行 。 该 密码 曾 被 认为 是 三 百年 内 破 
译 不 了 的 密码 ,因而 这 种 密码 在 今天 仍 被 使 用 着 。 

隐 写 术 是 最 为 人 们 所 熟悉 的 古典 加 密 方法 , 它 通常 将 秘密 消息 隐藏 于 其 他 消息 中 ,使 真 
正 的 秘密 通过 一 份 无 伤 大 雅 的 消息 发 送出 去 。 隐 写 术 分 为 两 种 ,技术 隐 写 术 和 语言 隐 写 术 。 
技术 方面 的 隐 写 比较 容易 想象 : 比如 不 可 见 的 墨水 ,洋葱 法 和 牛奶 法 也 被 证 明 是 普遍 且 有 
效 的 方法 (只 要 在 背面 加 热 或 紫外 线 照 射 即 可 复 现 )。 语 言 隐 写 术 与 密码 编码 学 关系 比较 密 
切 , 它 主要 提供 两 种 类 型 的 方法 : 符号 码 和 公开 代码 。 


符号 码 是 以 可 见 的 方式 ,如 手写 体 字 或 图 形 ,隐藏 秘密 的 书写 。 在 书 或 报纸 上 标记 所 选 
择 的 字母 ,比如 用 点 或 短 划 线 ,这 比 上 述 方法 更 容易 被 人 怀疑 ,除非 使 用 显 隐 墨 水 ,但 此 方法 
易于 实现 。 一 种 变形 的 应 用 是 降低 所 关心 的 字母 ,使 其 水 平 位 置 略 低 于 其 他 字母 ,但 这 种 降 
低 几乎 让 人 觉察 不 到 。 

一 份 秘密 的 信件 或 伪装 的 消息 要 通过 公开 信道 传送 ,需要 双方 事前 的 约定 ,也 就 是 需要 
一 种 公开 代码 。 这 可 能 是 保密 技术 的 最 古老 形式 .公开 文献 中 经 常 可 以 看 到 。 东 方 和 远东 
的 商人 和 赌 徒 在 这 方面 有 独到 之 处 ,他 们 非常 熟练 地 掌握 了 手势 和 表情 的 应 用 。 在 美国 的 
纸牌 骗子 中 较为 盛行 的 方法 有 : 手 拿 一 支 烟 或 用 手 挠 一 下 头 ,表示 所 持 的 牌 不 错 ; 一 只 手 
放 在 胸 前 并 且 跷 起 大 拇指 ,意思 是 “我 将 赢得 这 局 ,有 人 愿意 跟 我 吗 ?右手 手掌 朝 下 放 在 桌 
子 上 ,表示 “是 ”, 手 握 成 拳头 表示 “不 ”。 

特定 行业 或 社会 阶层 经 常 使 用 的 语言 ,往往 被 称 为 行 话 。 一 些 乞 丐 ,流浪 汉 及 地 冶 流 谍 
使 用 的 语言 还 被 称 为 黑 话 , 它 们 是 这 些 社会 群体 的 护身符 。 其 实 也 是 利用 了 伪装 ,伪装 的 秘 
密 因此 也 称 为 专门 隐语 。 

黑社会 犯罪 团伙 使 用 的 语言 特别 具有 隐语 的 特性 ,法 语 中 黑 话 有 很 多 例子 ,其 中 有 的 现 
在 还 成 了 通俗 用 法 。 比 如 rossignol( 夜 殴 ) 表 示 “ 万 能 钥匙 ”, 最 早 始 于 1460 年 ; mouche( 飞 
行 ) 表 示 “ 告 密 者 ”等 。 

公开 代码 的 第 二 种 类 型 就 是 利用 虚 码 和 漏 格 进行 隐藏 ,隐藏 消息 的 规则 比较 常见 的 有 ， 
“ 某 个 特定 字符 后 的 第 几 个 字符 ”, 比 如 空格 后 的 下 一 个 字母 (“家 庭 代码 ”,“ 二 战 ” 中 在 参战 
士兵 中 广 为 流 传 ,但 引起 了 审查 机 关 的 极 大 不 满 ); 更 好 一 点 的 还 有 空格 后 的 第 三 个 字母 ， 
或 者 标点 符号 后 的 第 三 个 字母 。 

漏 格 方法 可 以 追溯 到 卡 达 诺 (Cardano,1550 年 ) 时 代 , 这 是 一 种 容易 掌握 的 方法 ,但 不 
足 之 处 是 双方 需要 相同 的 漏 格 ,特别 是 战场 上 的 士兵 ,使 用 时 不 太 方 便 。 

在 第 二 次 世界 大 战 中 ,德军 曾 一 度 使 用 一 种 被 称 为 BCHI 的 双重 纵 行 换 位 密码 ,而 且 作 
为 陆军 和 海军 的 应 急 密码 ,只 不 过 密 钥 字 每 天 变换 ,并 且 在 陆军 团 以 下 单位 使 用 。 此 时 英国 
人 早 就 能 解读 消息 了 ,两 个 不 同 的 密 钥 字 甚 至 三 重 纵 行 换 位 的 使 用 也 无 济 于 事 。 

随 着 电动 打字 机 的 使 用 ,电动 密码 机 开始 在 保密 通信 中 大 显 身手 。 在 第 二 次 世界 大 战 
中 , 转 轮 密 码 机 的 使 用 相当 普遍 。 它 主要 利用 机 械 运 动 和 简单 电子 线路 ,有 一 个 键盘 和 若干 
转 轮 ,实际 上 它 是 维 吉 尼 亚 密码 的 一 种 实现 。 每 个 转 轮 由 绝缘 的 圆 形 胶 板 组 成 , 胶 板 正 反 两 
面 边缘 线 上 有 金属 凸 块 ,每 个 金属 凸 块 上 标 有 字母 ,字母 的 位 置 相互 对 齐 。 胶 板 正 反 两 面 的 
字母 用 金属 连 线 接 通 ,形成 一 个 置换 运算 。 不 同 的 转 轮 固 定 在 一 个 同心 轴 上 ,它们 可 以 独立 
自由 转动 ,每 个 转 轮 可 选取 一 定 的 转动 速度 。 例 如 ,一 个 转 轮 可 能 被 导线 连通 以 完成 用 下 
代替 A、 用 口 代替 B、 用 工 代 替 C 等。 

为 了 防止 密码 分 析 , 有 的 转 轮 密码 机 还 在 每 个 转 轮 上 设 定 不 同 的 位 置 号 ,使 得 转 轮 的 位 
置 , 转 轮 的 数量 、 转 轮 上 的 齿轮 结合 起 来 , 增 大 机 器 的 周期 。 

最 著名 的 转 轮 密码 机 是 德国 人 侈 尔 比 乌 斯 设计 的 恩 尼 格 马 机 和 瑞典 人 哈 格 林 设 计 的 哈 
格林 密码 机 (美国 军 方 称 为 M-209) 。 

德国 人 使 用 的 恩 尼 格 马 机 共有 五 个 转 轮 ,可 选择 三 个 使 用 。 如 图 4. 1 所 示 , 转 轮机 中 设 
计 的 一 块 插 板 及 一 个 反射 轮 ,可 对 一 个 明文 字母 操作 两 次 。 另 一 个 特点 是 转 轮 由 齿轮 控制 ， 
以 形成 不 规则 进位 。 波 兰 的 密码 研究 人 员 最 早 破译 了 德国 的 恩 尼 格 马 机 ,并 将 方法 提供 给 
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了 英国 人 。 

M-209 是 “二 战 ”中 美军 的 主要 加 密 设 备 , 它 是 一 种 齿 数 可 变 的 齿轮 装置 ,有 六 个 密 钥 
轮 , 一 个 印字 轮 。 在 一 次 特定 的 加 密 作业 中 ,有 多少 个 齿 ,代替 表 就 推移 多 少 个 位 置 , 并 用 这 
个 代替 表 加 密 。 该 设备 的 各 个 部 件 互相 作用 ， 
产生 一 串 互 不 相关 的 长 周期 密 钥 。 

太平 洋 战争 中 ,美军 破译 了 日 本 海军 的 密 
码 机 , 读 懂 了 日 本 舰队 司令 官 山 本 五 十 六 发 给 
各 指挥 官 的 命令 ,在 中 途 岛 彻底 击溃 了 日 本 海 
军 , 导 致 了 太平 洋 战争 的 决定 性 转折 ,而 且 不 
久 还 击毙 了 山本 五 十 六 。 相 反 轴 心 国 中 ,只 有 
德国 在 第 二 次 世界 大 战 的 初期 取得 过 密码 破 
译 的 辉煌 战绩 。 因 此 ,可 以 说 ,密码 学 在 战争 
中 起 着 非常 重要 的 作用 。 

古典 密码 的 发 展 已 有 悠久 的 历史 了 ,尽管 
这 些 密 码 大 都 比较 简单 ,但 它 在 今天 仍 有 广泛 
的 使 用 。 

第 二 阶段 是 从 1949 年 到 1975 年 。1949 
年 ,美国 数学 家 、 信 息 论 的 创始 人 克 劳 德 。 香 
农 发 表 了 《保密 系统 的 信息 理论 ) 一 文 , 它 标志 着 密码 学 阶段 的 开始 。 同 时 以 这 篇 文章 为 
标志 的 信息 论 为 对 称 密 钥 密码 系统 建立 了 理论 基础 ,从 此 密码 学 成 为 一 门 科学 。 由 于 保 
密 的 需要 ,这 时 人 们 基本 上 看 不 到 关于 密码 学 的 文献 和 资料 ,平常 人 们 是 接触 不 到 密码 
的 。1967 年 David Kahn 出 版 了 一 本 叫做 《破译 者 》 的 小 说 ,使 人 们 知道 了 密码 学 。20 世纪 
70 年 代 初 期 ,IBM 发 表 了 有 关 密 码 学 的 几 篇 技术 报告 ,从 而 使 更 多 的 人 了 解 了 密码 学 的 存 
在 。 但 科学 理论 的 产生 并 没有 使 密码 学 失去 艺术 的 一 面 , 如 今 , 密 码 学 仍 是 一 门 具有 艺术 性 
的 科学 。 

第 三 阶段 为 1976 年 至 今 。1976 年 ,Diffie 和 Hellman 发 表 了 《密码 学 的 新 方向 ) 一 文 ， 
他 们 首次 证 明了 在 发 送 端 和 接收 端 不 需要 传输 密 钥 的 保密 通信 的 可 能 性 ,从 而 开创 了 公 
密码 学 的 新 纪元 。 该 文章 也 成 了 区 分 古典 密码 和 现代 密码 的 标志 。1977 年 ,美国 的 数据 加 
密 标 准 (DES) 公 布 。 这 两 件 事情 导致 了 对 密码 学 的 空前 研究 。 从 这 时 候 起 ,开始 对 密码 在 
民用 方面 进行 研究 ,密码 才 开始 充分 发 挥 它 的 商用 价值 和 社会 价值 ,人 们 才 开 始 能 够 接触 到 
密码 学 。 这 种 转变 也 促使 了 密码 学 的 空前 发 展 。 

密码 是 通信 双方 按 约定 的 法 则 进行 信息 特殊 变换 的 一 种 重要 保密 手段 。 依 照 这 些 法 
则 , 变 明 文 为 密 文 , 称 为 加 密 变 换 ; 变 密 文 为 明文 , 称 为 解密 变换 。 密 码 在 早期 仅 对 文字 或 
数码 进行 加 、 解 密 变 换 , 随 着 通信 技术 的 发 展 ,对 语音 、 图 像 . 数 据 等 都 可 实施 加 、 解 密 变 换 。 

密码 学 是 在 编码 与 破译 的 斗争 实践 中 逐步 发 展 起 来 的 ,并 随 着 先进 科学 技术 的 应 用 ,已 
成 为 一 门 综合 性 的 尖端 技术 科学 。 它 与 语言 学 .数学 .电子 学 声学、 信息论. 计算 机 科学 等 
有 着 广泛 而 密切 的 联系 。 它 的 现实 研究 成 果 , 特 别 是 各 国政 府 现 用 的 密码 编制 及 破译 手段 
都 具有 高 度 的 机 密 性 。 


图 4.1 恩 尼 格 马 转 轮 密码 机 
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4.2 密码 学 中 的 重要 术语 


。 明文 (plaintext) : 需要 被 隐蔽 的 消息 。 

。 密 文 (ciphertext) : 明文 经 变换 形成 的 隐蔽 形式 。 

。 加 密 (encryption) : 从 明文 到 密 文 的 变换 过 程 。 

。 解密 (decryption) : 从 密 文 恢复 到 明文 的 过 程 。 

变换 函数 所 用 的 一 个 控制 参数 称 为 密 钥 (key) 。 

加 密 和 解密 算法 的 操作 通常 是 在 一 组 密 钥 控 制 下 进行 的 ,分 别称 为 加 密 密 钥 和 解密 密 
密 钥 未 知情 况 下 进行 的 解密 推演 过 程 , 称 为 破译 ,也 称 为 密码 分 析 或 者 密码 攻击 。 它 们 
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之 间 的 关系 如 图 4.2 所 示 。 
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图 4.2 加 密 解密 过 程 示意 图 


4.3 密码 体制 


进行 明 密 变换 的 法 则 , 称 为 密码 的 体制 。 密 码 体制 的 基本 类 型 可 以 分 为 四 种 : 

(1) 错乱 一 一 按照 规定 的 图 形 和 线路 ,改变 明文 字母 或 数码 等 的 位 置 成 为 密 文 ; 

(2) 代替 一 一 用 一 个 或 多 个 代替 表 将 明文 字母 或 数码 等 代替 为 密 文 ; 

(3) 密 本 一 一 用 预先 编 定 的 字母 或 数字 密码 组 ,代替 一 定 的 词组 单词 等 变 明 文 为 密 文 ; 
(4) 加 乱 一 一 用 有 限 元 素 组 成 的 一 串 序 列 作为 乱 数 , 按 规定 的 算法 , 同 明文 序列 相 结 合 


以 上 四 种 密码 体制 , 既 可 单独 使 用 ,也 可 混合 使 用 ,以 编制 出 各 种 复杂 度 很 高 的 实用 


密码 。 


数据 的 加 密 和 解密 过 程 是 通过 密码 体制 十 密 钥 来 控制 的 。 密 码 体制 必须 易于 使 用 , 特 


别 是 应 当 可 以 在 微型 计算 机 上 使 用 。 密 码 体制 的 安全 性 依赖 于 密 钥 的 安全 性 ,现代 密码 学 
不 追求 加 密 算法 的 保密 性 ,而 是 追求 加 密 算法 的 完备 ,使 攻击 者 在 不 知道 密 钥 的 情况 下 , 没 
有 办 法 从 算法 找到 突破 口 。 


为 非 对 称 密 钥 (公共 钥匙 ) 密 码 体制 。 


密码 学 发 展 至 今 ,已 有 两 大 类 密码 体制 : 第 一 类 为 对 称 密 钥 ( 单 密 钥 ) 密 码 体制 ,第 二 类 
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4.3.1 对 称 密码 体制 


对 称 密码 体制 是 一 种 传统 密码 体制 ,也 称 为 私 钥 密 码 体 制 。 在 对 称 加 密 系 统 中 ,加 密 和 
解密 采用 相同 的 密 钥 。 因 为 加 、 解 密 密 钥 相同 ,需要 通信 的 双方 必须 选择 和 保存 他 们 共同 的 
密 钥 ,各 方 必 须 信 任 对 方 不 会 将 密 钥 泄密 出 去 ,这 样 就 可 以 实现 数据 的 机 密 性 和 完整 性 ,如 
图 4.3 所 示 。 
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图 4.3 对 称 密码 体制 


对 于 具有 个 用 户 的 网 络 , 需 要 n(n 一 1)/2 个 密 钥 ,在 用 户 群 不 是 很 大 的 情况 下 ,对称 
加 密 系 统 是 有 效 的 。 但 是 对 于 大 型 网 络 , 当 用 户 群 很 大 ,分 布 很 广 时 , 密 钥 的 分 配 和 保存 就 
成 了 问题 。 对 机 密 信 息 进行 加 密 和 验证 随 报 文 一 起 发 送 报 文摘 要 (或 散 列 值 ) 来 实现 。 比 较 
典型 的 算法 有 DES 算法 及 其 变形 Triple DES( 三 重 DES) .GDES (广义 DES) ,欧洲 的 
IDEA, 日 本 的 FEAL N、RC5 等 。DES 标准 由 美国 国家 标准 局 提出 ,主要 应 用 于 银行 业 的 
电子 资金 转账 (EFT) 领 域 。DES 的 密 钥 长 度 为 55b。Triple DES 使 用 两 个 独立 的 56b 密 钥 
对 交换 的 信息 进行 三 次 加 密 , 从 而 使 其 有 效 长 度 达 到 112b。RC2 和 RC4 方法 是 RSA 数据 
安全 公司 的 对 称 加 密 专 利 算法 ,它们 采用 可 变 密 钥 长 度 的 算法 。 通 过 规定 不 同 的 密 钥 长 度 ， 
C2 和 RC4 能 够 提高 或 降低 安全 的 程度 。 对 称 密码 算法 的 优点 是 计算 开销 小 ,加 密 速度 快 ， 
是 目前 用 于 信息 加 密 的 主要 算法 。 它 的 局 限 性 在 于 ,存在 着 通信 的 贸易 双方 之 间 确 保密 钥 
安全 交换 的 问题 。 此 外 , 某 一 贸易 方 有 几 个 贸易 关系 ,就 要 维护 几 个 专用 密 钥 。 对 称 密码 算 
法 也 没 法 鉴别 贸易 发 起 方 或 贸易 最 终 方 ,因为 贸易 的 双方 的 密 钥 相同 。 另 外 ,由 于 对 称 加 密 
系统 仅 能 用 于 对 数据 进行 加 、 解 密 处 理 , 提 供 数据 的 机 密 性 ,不 能 用 于 数字 签名 。 因 而 人 们 
迫切 需要 寻找 新 的 密码 体制 。 


4.3.2 非 对 称 密码 体制 


非 对 称 密 码 体制 也 叫 公 钥 加 密 技 术 ,该 技术 就 是 针对 私 钥 密 码 体制 的 缺陷 提出 来 的 。 
在 公 钥 加 密 系统 中 ,加 密 和 解密 是 相对 独立 的 ,加 密 和 解密 会 使 用 两 把 不 同 的 密 钥 ,加 密 密 
钥 ( 公 开 密 钥 ) 向 公众 公开 , 谁 都 可 以 使 用 ,解密 密 钥 (秘密 密 钥 ) 只 有 解密 人 自己 知道 ,非法 
使 用 者 根据 公开 的 加 密 密 钥 无 法 推算 出 解密 密 钥 ,所 以 也 被 称 为 公 钥 密码 体制 ,如 图 4. 4 
所 示 。 

如 果 一 个 人 选择 并 公布 了 他 的 公 钥 ,另外 任何 人 都 可 以 用 这 一 公 钥 来 加 密 传送 给 那个 
人 的 消息 。 私 钥 是 秘密 保存 的 ,只 有 私 钥 的 所 有 者 才能 利用 私 钥 对 密 文 进行 解密 。 公 钥 密 
码 体制 的 算法 中 最 著名 的 代表 是 RSA 系统 ,此 外 还 有 背包 密码 、McEliece 密码 、Diffe_ 
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图 4.4 非 对 称 密码 体制 


Hellman、Rabin、 零 知识 证 明 ,椭圆 曲线 .EIGamal 算法 等 。 公 钥 密 钥 的 密 钥 管理 比较 简单 ， 
并 且 可 以 方便 地 实现 数字 签名 和 验证 。 但 算法 复杂 ,加 密 数 据 的 速率 较 低 。 公 钥 加 密 系统 
不 存在 对 称 加 密 系 统 中 密 钥 的 分 配 和 保存 问题 ,对 于 具有 个 用 户 的 网 络 , 仅 需要 2n 个 密 
钥 。 公 钥 加 密 系 统 除了 用 于 数据 加 密 外 ,还 可 用 于 数字 签名 。 公 钥 加 密 系统 可 提供 以 下 
功能 ， 

(1) 机 密 性 ,保证 非 授 权 人 员 不 能 非法 获取 信息 ,通过 数据 加 密 来 实现 ; 

(2) 确认 性 ,保证 对 方 属于 所 声称 的 实体 ,通过 数字 签名 来 实现 ; 

(3) 数据 完整 性 ,保证 信息 内 容 不 被 算 改 ,入 侵 者 不 可 能 用 假 消息 代替 合法 消息 ,通过 
数字 签名 来 实现 ; 

(4) 不 可 抵赖 性 ,发 送 者 不 可 能 事后 否认 他 发 送 过 消息 ,消息 的 接收 者 可 以 向 中 立 的 第 
三 方 证 实 所 指 的 发 送 者 确实 发 出 了 消息 ,通过 数字 签名 来 实现 。 

可 见 公 钥 加 密 系统 满足 信息 安全 的 所 有 主要 目标 。 


4.4 哈 希 算法 


哈 希 算法 (hash algorithm) ,也 叫 信息 标记 算法 (message-digest algorithm) ,可 以 提供 
数据 完整 性 方面 的 判断 依据 。 

哈 希 算法 将 任意 长 度 的 二 进 制 值 映射 为 固定 长 度 的 较 小 二 进 制 值 , 这 个 小 的 二 进 制 值 
称 为 哈 希 值 。 哈 希 值 是 一 段 数据 唯一 且 极 其 紧凑 的 数值 表示 形式 。 如 果 散 列 一 段 明 文 而 且 
哪怕 只 更 改 该 段落 的 一 个 字母 ,随后 的 哈 希 都 将 产生 不 同 的 值 。 要 找到 散 列 为 同一 个 值 的 
两 个 不 同 的 输入 ,在 计算 上 是 不 可 能 的 ,所 以 数据 的 哈 希 值 可 以 检验 数据 的 完整 性 ,流程 如 
图 4.5 所 示 。 

哈 希 表 是 根据 设 定 的 哈 希 函数 和 处 理 冲突 方法 将 一 组 关键 字 映 像 到 一 个 有 限 的 地 址 区 
间 上 ,并 以 关键 字 在 地 址 区 间 中 的 像 来 记录 表 中 的 存储 位 置 ,这 种 表 称 为 哈 希 表 或 散 列 ,所 
得 存储 位 置 称 为 哈 希 地 址 或 散 列 地 址 。 作 为 线性 数据 结构 与 表格 和 队列 等 相 比 , 哈 希 表 无 
疑 是 查找 速度 比较 快 的 一 种 。 

哈 希 值 通过 将 单 向 数学 函数 (有 时 称 为 “ 哈 希 算法 ”应 用 到 任意 数量 的 数据 所 得 到 的 固 
定 大 小 的 结果 。 如 果 输 入 数据 中 有 变化 , 则 哈 希 值 也 会 发 生变 化 。 哈 希 值 可 用 于 许多 操作 ， 
包括 身份 验证 和 数字 签名 ,也 称 为 “消息 摘要 ”。 
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结果 相同 ， 则 数 
据 未 被 自 改 


结果 不 同 ， 则 数 
数据 已 被 自 改 


图 4.5 哈 希 (hash) 算 法 


哈 希 算法 是 用 来 产生 一 些 数据 片段 (例如 消息 或 会 话 项 ) 的 哈 希 值 的 算法 。 使 用 好 的 哈 
希 算 法 ,在 输入 数据 中 所 做 的 更 改 就 可 以 更 改 结果 哈 希 值 中 的 所 有 位 ; 因此 , 哈 希 对 于 检测 
数据 对 象 (例如 消息 ) 中 的 修改 很 有 用 。 此 外 ,好 的 哈 希 算法 使 得 构造 两 个 相互 独立 上 且 具 有 
相同 哈 希 的 输入 不 能 通过 计算 方法 实现 。 典 型 的 哈 希 算法 包括 MD2 .MD4、MD5 和 SHA-1。 
哈 希 算法 也 称 为 “ 哈 硕 函 数 ”。 

哈 希 算法 以 一 条 信息 为 输入 ,输出 一 个 固定 长 度 的 数字 , 称 为 “标记 (digest)”。 哈 希 算 
法 具备 三 个 特性 ， 

(1) 不 可 能 以 信息 标记 为 依据 推导 出 输入 信息 的 内 容 。 

(2) 不 可 能 人 为 控制 某 个 消息 与 某 个 标记 的 对 应 关系 (必须 用 hash 算法 得 到 ) 。 

(3) 要 想 找 到 具有 同样 标记 的 信息 在 计算 方面 是 行 不 通 的 。 

哈 希 算法 与 加 密 算法 共同 使 用 ,加 强 数据 通信 的 安全 性 。 采 用 这 一 技术 的 应 用 有 数字 
签名 ,数字 证 书 . 网 上 交易 .终端 的 安全 连接 .安全 的 电子 邮件 系统 .PGP 加 密 软件 等 。 


4.5 著名 密码 体系 


4.5.1 分 组 密码 体系 


现代 分 组 密码 的 研究 始 于 20 世纪 70 年 代 中 期 ,至 今 已 有 20 余年 历史 ,这 期 间 人 们 在 
这 一 研究 领域 已 经 取得 了 丰硕 的 研究 成 果 。 大 体 上 ,分 组 密码 的 研究 包括 三 方面 : 分 组 密 
码 的 设计 原理 、 分 组 密码 的 安全 性 分 析 和 分 组 密码 的 统计 性 能 测试 。 

分 组 密码 的 设计 与 分 析 是 两 个 既 相 互 对 立 又 相互 依存 的 研究 方向 , 正 是 由 于 这 种 对 立 
促进 了 分 组 密码 的 飞速 发 展 。 早 期 的 研究 基本 上 是 围绕 DES 进行 的 ,推出 了 许多 类 似 于 
DES 的 密码 ,例如 LOKI、FEAL、GOST 等 。 进 入 20 世纪 90 年 代 , 人 们 对 DES 类 密码 的 研 
究 更 加 深入 ,特别 是 差分 密码 分 析 和 线性 密码 分 析 的 提出 ,迫使 人 们 不 得 不 研究 新 的 密码 结 
构 。IDEA 密码 的 出 现 打破 了 DES 类 密码 的 垄断 局 面 ,IDEA 密码 的 设计 思想 是 混合 使 用 
来 自 不 同 代数 群 中 的 运算 。 随 后 出 现 的 Square、Shark 和 Safer-64 都 采用 了 结构 非常 清晰 
的 代替 -置换 (SP) 网 络 , 每 一 轮 由 混淆 层 和 扩散 层 组 成 。 这 种 结构 的 最 大 优点 是 能 够 从 理论 
上 给 出 最 大 差分 特征 概率 和 最 佳 线 性 台 近 优势 的 界 , 也 就 是 密码 对 差分 密码 分 析 和 线性 密 
码 分 析 是 可 证 明 安全 的 。 

目前 ,对 分 组 密码 安全 性 的 讨论 主要 包括 差分 密码 分 析 、 线 性 密码 分 析 和 强力 攻击 等 。 
从 理论 上 讲 , 差 分 密码 分 析 和 线性 密码 分 析 是 目前 攻击 分 组 密码 的 最 有 效 的 方法 ,而 从 实际 


上 说 ,强力 攻击 是 攻击 分 组 密码 最 可 靠 的 方法 。 到 目前 为 止 , 已 有 大 量 文献 讨论 各 种 分 组 密 
码 的 安全 性 。 自 AES( 高 级 数据 加 密 标准 ,是 美国 国家 标准 技术 研究 所 旨 在 取代 DES 的 21 
世纪 的 加 密 标 准 ) 候 选 算法 公布 以 后 ,国内 外 许多 专家 都 致力 于 候选 算法 的 安全 性 分 析 , 预 
计 将 会 推出 一 些 新 的 攻击 方法 ,这 无 疑 将 进一步 推动 分 组 密码 的 发 展 。 

与 序列 密码 每 次 加 密 处 理 数据 流 的 一 位 或 一 个 字 节 不 同 , 分 组 密码 处 理 的 单位 是 一 组 
明文 ,即将 明文 消息 编码 后 的 数字 序列 zo ,zzz,…,z 划分 成 长 为 m 位 的 组 =(Czo,z， 
Xz， ,Xm-1) ,各 个 长 为 m 的 分 组 分 别 在 密 钥 & 二 (ko ,ki ,ks，,…,k,_1)( 密 钥 长 为 m) 的 控制 
下 变换 成 与 明文 组 等 长 的 一 组 密 文 输出 数字 序列 y= 二 (yo ,yyo，…，ym-1)。m 通常 为 64 
或 128, 原 理 如 图 4.6 所 示 。 

密 钥 =(ko wo) 密 钥 导 (. wo 1) 
| 密 文 Jooyo2sprD 
加 密 算法 | 解密 算法 


明文 


i 
oxi 1) 


明文 
Crown-D 


图 4.6 分 组 密码 设计 原理 


分 组 密码 算法 实际 上 就 是 在 密 钥 控制 下 ,通过 某 个 置换 来 实现 对 明文 分 组 的 加 密 变换 。 
为 了 保证 密码 算法 的 安全 强度 ,对 密码 算法 的 要 求 如 下 : 

(1) 分 组 长 度 足 够 大 。 当 分 组 长 度 较 小 时 ,分 组 密码 类 似 于 古典 的 代替 密码 , 它 仍 然 保 
留 了 明文 的 统计 信息 ,这 种 统计 信息 将 给 攻击 者 留 下 可 乘 之 机 ,攻击 者 可 以 有 效 地 穷 举 明文 
空间 ,得 到 密码 变换 本 身 。 

(2) 密 钥 量 足够 大 。 分 组 密码 的 密 钥 所 确定 密码 变换 只 是 所 有 置换 中 极 小 一 部 分 。 如 
果 这 一 部 分 足够 小 ,攻击 者 可 以 有 效 地 穷 举 明文 空间 确定 所 有 的 置换 。 这 时 ,攻击 者 就 可 以 
对 密 文 进行 解密 ,以 得 到 有 意义 的 明文 。 

(3) 密码 变换 足够 复杂 。 使 攻击 者 除了 穷 举 法 以 外 , 找 不 到 其 他 快捷 的 破译 方法 。 

分 组 密码 是 将 明文 消息 编码 表示 后 的 数字 (简称 明文 数字 ) 序 列 , 划 分 成 长 度 为 n 的 组 
(可 看 成 长 度 为 n 的 矢量 ) ,每 组 分 别 在 密 钥 的 控制 下 变换 成 等 长 的 输出 数字 (简称 密 文 数 
字 ) 序 列 。 

分 组 密码 将 定 长 的 明文 块 转换 成 等 长 的 密 文 ,这 一 过 程 在 秘 钥 的 控制 之 下 。 使 用 逆向 
变换 和 同一 密 钥 来 实现 解密 。 对 于 当前 的 许多 分 组 密码 ,分 组 大 小 是 64 位 ,但 这 很 可 能 会 
增加 。 

明文 消息 通常 要 比特 定 的 分 组 大 小 长 得 多 ,而 且 使 用 不 同 的 技术 或 操作 方式 。 这 样 的 
方式 示例 有 电子 编码 本 (ECB) 密码 分 组 链接 (CBC) 或 密码 反馈 (CFB)。ECB 使 用 同一 个 
密 钥 简 单 地 将 明文 块 一 个 接 一 个 地 进行 加 密 ; 在 CBC 方式 中 ,每 个 明文 块 在 加 密 前 先 与 前 
一 密 文 块 进行 “ 异 或 ”运算 ,从 而 增加 了 复杂 程度 ,可 以 使 某 些 攻击 更 难以 实施 。“ 输 出 反馈 ” 
方式 (OFB) 类 似 CBC 方式 ,但 是 进行 “ 异 或 ?的 量 是 独立 生成 的 。CBC 受到 广泛 使 用 ,例如 
在 DES 实现 中 ,而 且 在 有 关 密 码 术 的 技术 性 方面 的 相应 书籍 中 深入 讨论 了 各 种 方式 。 请 注 
意 : 有 些 用 户 自己 建立 的 密码 系统 的 普遍 弱点 就 是 以 简单 的 形式 来 使 用 某 些 公 开 的 算法 ， 
而 不 是 以 提供 了 额外 保护 的 特定 方式 使 用 。 

迭代 的 分 组 密码 是 那些 其 加 密 过 程 有 多 次 循环 的 密码 ,因此 提高 了 安全 性 。 在 每 个 循 
环 中 ,可 以 通过 使 用 特殊 的 函数 从 初始 密 钥 派生 出 的 子 密 钥 来 应 用 适当 的 变换 。 该 附加 的 
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计算 需求 必然 会 影响 可 以 管理 加 密 的 速度 ,因此 在 安全 性 需要 和 执行 速度 之 间 存 在 着 一 种 
平衡 。 分 组 密码 包括 DES IDEA、SAFER 、Blowfish 和 Skipjack( 最 后 一 个 是 “美国 国家 安 
全 局 ”限制 器 芯片 中 使 用 的 算法 ) 。 


4.5.2 DES 数据 加 密 标 准 


在 所 有 分 组 密码 中 ,数据 加 密 标准 (DES) 可 谓 是 最 著名 的 了 。1973 年 ,美国 国家 标准 
局 (NBS) 在 认识 到 建立 数据 保护 标准 既 明显 又 急迫 需要 的 情况 下 ,开始 征集 联邦 数据 加 密 
标准 的 方案 。1975 年 3 月 17 日 ,NBS 公布 了 IBM 公司 提供 的 密码 算法 ,以 标准 建议 的 形 
式 在 全 国 范围 内 征求 意见 。 经 过 两 年 多 的 公开 讨论 之 后 ,1977 年 7 月 15 日 ,NBS 宣布 接受 
这 个 建议 ,作为 联邦 信息 处 理 标准 46 号 ,数据 加 密 标 准 即 DES 正式 颁布 , 供 商 业界 和 非 国 
防 性 政府 部 门 使 用 。 这 是 唯一 由 美国 政府 颁布 的 公开 加 密 算法 。 

DES 密码 在 过 去 20 年 被 正式 作为 国际 标准 采用 ,但 业界 认为 其 56 位 密 钥 太 短 ,而 且 
其 基本 设计 原理 ,如 各 种 不 同 排列 选择 .置换 .和 琶 代 次 数 等 没有 清楚 的 说 明 ,存在 系统 隐蔽 陷 
阱 的 可 能 。 

DES 是 一 种 对 二 进 制 数据 进行 加 密 的 算法 。 数 据 分 组 长 为 64 位 , 密 钥 长 也 为 64 位 。 
使 用 56 位 密 钥 对 64 位 的 数据 块 进行 加 密 , 并 对 64 位 的 数据 块 进行 16 轮 编码 。 在 每 轮 编 
码 时 ,一 个 48 位 的 “每 轮 ” 密 钥 值 由 56 位 的 完整 密 钥 得 出 来 。 经 过 16 轮 的 迭代 、 乘 积 变 换 、 
压缩 变换 等 ,输出 密 文 也 为 64 位 。DES 算法 的 安全 性 完全 依赖 于 其 所 用 的 密 钥 。 

DES 用 软件 进行 解码 需要 用 很 长 时 间 ,而 用 硬件 解码 速度 非常 快 ,但 幸运 的 是 当时 大 
多 数 黑客 并 没有 足够 的 设备 制造 出 这 种 硬件 设备 。 

在 1977 年 ,人 们 估计 要 耗资 两 千 万 美元 才能 建成 一 个 专门 计算 机 用 于 DES 的 解密 ,而 
且 需 要 12 个 小 时 的 破解 才能 得 到 结果 ,所 以 ,当时 DES 被 认为 是 一 种 十 分 强壮 的 加 密 
方法 。 

1997 年 开始 ,RSA 公司 发 起 了 一 个 称 作 “ 向 DES 挑战 ”的 竞技 赛 。1997 年 1 月 ,用 了 
96 天 时 间 ,成功 地 破解 了 用 DES 加 密 的 一 段 信息 ; 一 年 之 后 ,在 第 二 届 赛 事 上 ,这 一 记录 为 
41 天 ; 1998 年 7 月 ,“ 第 2-2 届 DES 挑战 赛 (DES Challenge I1-2)” 把 破解 DES 的 时 间 缩 短 
到 了 只 需 56 小 时 ;“ 第 三 届 DES 挑战 赛 (DES Challenge IID ”把 破解 DES 的 时 间 缩 短 到 了 
只 需 22.5 小 时 。 


4.5.3 公开 密 钥 密码 体制 


公开 密 钥 密 码 体制 是 现代 密码 学 的 最 重要 的 发 明和 进展 。 一 般 理解 密码 学 就 是 保护 信 
息 传 递 的 机 密 性 。 但 这 仅仅 是 当今 密码 学 主题 的 一 个 方面 。 对 信息 发 送 与 接收 人 的 真实 身 
份 的 验证 、 对 所 发 出 /接收 信息 在 事后 的 不 可 抵赖 以 及 保障 数据 的 完整 性 是 现代 密码 学 主题 
的 另 一 方面 。 

公开 密 钥 密码 体制 对 这 两 方面 的 问题 都 给 出 了 出 色 的 解答 ,并 正在 继续 产生 许多 新 的 
思想 和 方案 。 在 公 钥 体制 中 ,加 密 密 钥 不 同 于 解密 密 钥 。 人 们 将 加 密 密 钥 公之于众 , 谁 都 可 
以 使 用 ; 而 解密 密 钥 只 有 解密 人 自己 知道 。 

公 钥 密码 体制 于 1976 年 由 W. Diffie 和 M. Hellman 提出 ,同时 ,R. Merkle 也 独立 提 
出 了 这 一 体制 。 这 种 密码 体制 采用 了 一 对 密 钥 , 即 加 密 密 钥 和 解密 密 钥 ( 且 从 解密 密 钥 推出 


加 密 密 钥 是 不 可 行 的 ) ,这 一 对 密 钥 中 ,一 个 可 以 公开 ( 称 为 公 钥 ), 另 一 个 为 用 户 专用 ( 私 
钥 ) 。 其 原理 是 加 密 密 钥 和 解密 密 钥 分 离 。 这 样 ,一 个 具体 用 户 就 可 以 将 自己 设计 的 加 密 密 
钥 和 算法 公 诸 于 众 ,而 只 保密 解密 密 钥 。 任 何人 利用 这 个 加 密 密 钥 和 算法 向 该 用 户 发 送 的 
加 密 信 息 ,该 用 户 均 可 以 将 之 还 原 。 公 开 密 钥 密码 的 优点 是 不 需要 经 安全 渠道 传递 密 钥 ,大 
大 简化 了 密 钥 管理 。 它 的 算法 有 时 也 称 为 公开 密 钥 算法 或 简称 为 公 钥 算法 。 

公 钥 密码 体制 可 用 于 以 下 三 个 方面 。 

(1) 通信 保密 。 此 时 将 公 钥 作为 加 密 密 钥 , 私 钥 作 为 解密 密 钥 ,通信 双方 不 需要 交换 密 
钥 就 可 以 实现 保密 通信 。 这 时 ,通过 公 钥 或 密 文 分 析出 明文 或 私 钥 是 不 可 行 的 。 如 图 4.7 
所 示 ,Bob 拥有 多 个 人 的 公 钥 , 当 他 需要 向 Alice 发 送 机 密 消 息 时 ,他 用 Alice 公布 的 公 钥 对 
明文 消息 加 密 , 当 Alice 接收 到 后 用 她 的 私 钥 解密 。 由 于 私 钥 只 有 Alice 本 人 知道 ,所 以 能 
实现 通信 保密 。 


明文 输入 ”加密 算法 ， 如 RSA 解密 算法 。 明文 输出 
图 4.7 通信 保密 


(2) 数字 签名 。 将 私 钥 作 为 加 密 密 钥 , 公 钥 作为 解密 密 钥 ,可 实现 由 一 个 用 户 对 数据 加 
密 而 使 多 个 用 户 解 读 。 如 图 4. 8 所 示 ,Bob 用 私 钥 对 明文 进行 加 密 并 发 布 ,Alice 收 到 密 文 
后 用 Bob 公布 的 公 钥 解密 。 由 于 Bob 的 私 钥 只 有 Bob 本 人 知道 ,因此 ,Alice 看 到 的 明文 肯 
定 是 Bob 发 出 的 ,从 而 实现 了 数字 签名 。 

(3) 密 钥 交换 。 通 信 双 方 交换 会 话 密 钥 ,以 加 密 通 信 双 方 后 续 连 接 所 传输 的 信息 。 每 
次 逻辑 连接 使 用 一 把 新 的 会 话 密 钥 , 用 完 就 丢弃 。 
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4.5.4 公开 密 钥 算法 


迄今 为 止 的 所 有 公 钥 密码 体系 中 ,公开 密 钥 算法 (RSA) 系 统 是 最 著名 、 使 用 最 广泛 的 
一 种 。RSA 是 1977 年 由 MIT 教授 Ronald L. Rivest、Adi Shamir 和 Leonard M. Adleman 
共同 开发 的 ,分 别 取 三 名 数学 家 名 字 的 第 一 个 字母 来 构成 的 。 

RSA 使 用 两 个 密 钥 ,一 个 公开 密 钥 ,一 个 专用 密 钥 。 如 用 其 中 一 个 加 密 , 则 可 用 另 一 个 
解密 , 密 钥 长 度 从 40 到 2048b 可 变 , 加 密 时 也 把 明文 分 成 块 , 块 的 大 小 可 变 , 但 不 能 超过 密 
钥 的 长 度 ,RSA 算法 把 每 一 块 明文 转化 为 与 密 钥 长 度 相 同 的 密 文 块 。 密 钥 越 长 ,加 密 效果 
越 好 ,但 加 密 解 密 的 开销 也 大 ,所 以 要 在 安全 与 性 能 之 间 折 中 考虑 ,一 般 64 位 是 较 合适 的 。 
RSA 的 一 个 比较 知名 的 应 用 是 SSL, 在 美国 和 加 拿 大 SSL 用 128 位 RSA 算法 ,由 于 出 口 限 
制 ,在 其 他 地 区 (包括 中 国 ) 通 用 的 则 是 40 位 版 本 。 

RSA 算法 研制 的 最 初 理念 与 目标 是 努力 使 互联 网 安全 可 靠 , 旨 在 解决 DES 算法 密 钥 
利用 公开 信道 传输 分 发 的 难题 。 而 实际 结果 不 但 很 好 地 解决 了 这 个 难题 ; 还 可 利用 RSA 
来 完成 对 电文 的 数字 签名 以 对 抗 电文 的 否认 与 抵赖 ; 同时 还 可 以 利用 数字 签名 较 容易 地 发 
现 攻 击 者 对 电文 的 非法 算 改 ,以 保护 数据 信息 的 完整 性 。 

RSA 算法 的 安全 性 基于 大 数 分 解 的 困难 性 。 我 们 知道 , 求 一 对 大 素数 的 乘积 很 容易 ， 
但 要 对 这 个 乘积 进行 因 式 分 解 则 非常 困难 ,因此 ,可 以 把 一 对 大 素数 的 乘积 公开 作为 公 钥 ， 
而 把 素数 作为 私 钥 , 从 而 从 一 个 公开 密 钥 和 密 文 中 恢复 出 明文 的 难度 等 价 于 分 解 两 个 大 素 
数 之 积 。 

RSA 算法 很 好 地 完成 了 对 电文 的 数字 签名 以 对 抗 数据 的 否认 与 抵赖 。 利 用 数字 签名 
较 容易 地 发 现 攻击 者 对 电文 的 非法 算 改 ,以 保护 数据 信息 的 完整 性 。 目 前 为 止 , 很 多 种 加 密 
技术 采用 了 RSA 算法 ,比如 PGP(PrettyGoodPrivacy) 加 密 系统 , 它 是 一 个 工具 软件 ,向 认 
证 中 心 注册 后 就 可 以 用 它 对 文件 进行 加 解密 或 数字 签名 。 由 此 可 以 看 出 RSA 有 很 好 的 应 
用 ,是 迄今 理论 上 最 为 成 熟 完善 的 一 种 公 钥 密码 体制 。 

RSA 密码 基于 计算 复杂 性 原理 获得 加 密 强 度 , 但 其 缺点 是 系统 的 安全 取决 于 所 用 的 两 
个 大 素数 ,如 果 能 找 出 一 种 快速 方法 分 解 这 两 个 大 素数 ,系统 很 容易 被 攻破 。 

RSA 的 安全 性 是 比较 高 的 ,就 目前 的 计算 机 水 平 用 1024 位 的 密 钥 是 安全 的 ,2048 位 是 
绝对 安全 的 。RSA 实验 室 认为 ,512 位 的 密 钥 已 不 够 安全 ,应 停止 使 用 ,现在 的 个 人 需要 用 
668 位 的 密 钥 ,公司 要 用 1024 位 的 密 钥 ,极其 重要 的 场合 应 该 用 2048 位 的 密 钥 。 

公开 密 钥 方案 较 对 称 密 钥 方案 处 理 速度 慢 ,因此 ,通常 把 公开 密 钥 与 对 称 密 钥 技 术 结合 
起 来 以 实现 最 佳 性 能 。 即 用 公开 密 钥 技术 在 通信 双方 之 间 传 送 对 称 密 钥 ,而 用 对 称 密 钥 来 
对 实际 传输 的 数据 加 密 解 密 。 另 外 , 公 钥 加 密 也 用 来 对 对 称 密 钥 进行 加 密 。 


4.6 ”PGP 加 密 软件 


PGP, 全 称 Pretty Good Privacy, 是 一 种 在 信息 安全 传输 领域 首选 的 加 密 软 件 ,其 技术 
特性 是 采用 了 非 对 称 的 公 钥 加 密 体系 。 由 于 美国 对 信息 加 密 产品 有 严格 的 法 律 约束 ,特别 
是 对 向 美国 .加 拿 大 之 外 国家 散播 该 类 信息 ,以 及 出 售 ,发 布 该 类 软件 约束 更 为 严格 。 因 而 
限制 了 PGP 的 一 些 发 展 和 普及 ,现在 该 软件 的 主要 使 用 对 象 为 情报 机 构 、 政 府 机 构 \ 信 息 安 


全 工作 者 (例如 较 有 水 平 的 安全 专家 和 有 一 定 资 历 的 黑客 ) 。PGP 最 初 的 设计 主要 是 用 于 
邮件 加 密 ,如 今 已 经 发 展 到 了 可 以 加 密 整 个 硬盘 、 分 区 .文件 .文件 夹 、 集 成 进 邮件 软件 进行 
邮件 加 密 , 甚 至 可 以 对 ICQ 的 聊天 信息 实时 加 密 。 聊 天 者 只 要 安装 了 PGP, 就 可 利用 其 
ICQ 加 密 组 件 在 双方 聊天 的 同时 进行 加 密 或 解密 ,最 大 程度 地 保证 聊天 信息 不 被 窃取 或 
监视 。 

PGP 使 用 加 密 以 及 效 验 的 方式 ,提供 了 多 种 的 功能 和 工具 ,帮助 保证 电子 邮件 文件、 
磁盘 以 及 网 络 通信 的 安全 。 

(1) 在 任何 软件 中 进行 加 密 / 签 名 以 及 解密 / 效 验 。 通 过 PGP 选项 和 电子 邮件 插件 ,可 
以 在 任何 软件 当中 使 用 PGP 的 功能 。 

(2) 创建 以 及 管理 密 钥 。 使 用 PGPkeys 来 创建 .查看 和 维护 自己 的 PGP 密 钥 对 ; 以 及 
把 任何 人 的 公 钥 加 入 自己 的 公 钥 库 中 。 

(3) 创建 自 解密 压缩 文档 。 可 以 建立 一 个 自动 解密 的 可 执行 文件 。 任 何人 不 需要 事先 
安装 PGP, 只 要 得 知 该 文件 的 加 密 密 码 ,就 可 以 把 这 个 文件 解密 。 这 个 功能 尤其 在 需要 把 
文件 发 送 给 没有 安装 PGP 的 人 时 特别 好 用 。 并 且 , 此 功能 还 能 对 内 舱 其 中 的 文件 进行 压 
缩 , 压 缩 率 与 ZIP 相似 , 比 RAR 略 低 ( 某 些 时 候 略 高 ,比如 含有 大 量 文 本 ) 。 总 的 来 说 ,该 功 
能 是 相当 出 色 的 。 

(4) 创建 PGPdisk 加 密 文件 。 该 功能 可 以 创建 一 个 . pgd 文件 ,此 文件 用 PGP Disk 功 
能 加 载 后 ,将 以 新 分 区 的 形式 出 现 ,可 以 在 此 分 区 内 放 入 需要 保密 的 任何 文件 。 其 使 用 私 钥 
和 密码 两 者 共用 的 方式 保存 加 密 数据 ,保密 性 坚不可摧 ,但 需要 注意 的 是 ,一 定 要 在 重 装 系 
统 前 记得 备份 “我 的 文档 ”中 的 PGP 文件 夹 里 的 所 有 文件 ,以 备 重 装 后 恢复 自己 的 私 钥 。 该 
步骤 一 定 不 能 漏 掉 ,否则 将 永远 没有 可 能 再 次 打开 曾经 在 该 系统 下 创建 的 任何 加 密 文件 ! 

(5) 永久 地 粉碎 销毁 文件 ,文件 夹 , 并 释放 出 磁盘 空间 。 可 以 使 用 PGP 粉碎 工具 来 永 
久 地 删除 那些 敏感 的 文件 和 文件 夹 ,而 不 会 遗留 任何 的 数据 片段 在 硬盘 上 。 也 可 以 使 用 
PGP 自由 空间 粉碎 器 来 再 次 清除 已 经 被 删除 的 文件 实际 占用 的 硬盘 空间 。 这 两 个 工具 都 
是 要 确保 所 删除 的 数据 将 永远 不 可 能 被 别有用心 的 人 恢复 。 

(6) 9.x 新 增 : 全 盘 加 密 , 也 称 完整 磁盘 加 密 。 该 功能 可 将 整个 硬盘 上 所 有 数据 加 密 ， 
甚至 包括 操作 系统 本 身 。 提 供 极 高 的 安全 性 ,没有 密码 之 人 绝 无 可 能 使 用 加 密 过 的 系统 或 
查看 硬盘 里 面 存放 的 文件 ,文件 夹 等 数据 。 即 便 是 硬盘 被 拆 印 到 另外 的 计算 机 上 ,该 功能 仍 
将 忠实 地 保护 被 加 密 的 数据 ,加 密 后 的 数据 维持 原 有 的 结构 ,文件 和 文件 夹 的 位 置 都 不 会 
改变 。 

(7) 9. x 增强 ; 即时 消息 工具 加 密 。 该 功能 可 将 支持 的 即时 消息 工具 所 发 送 的 信息 完 
全 经 由 PGP 处 理 , 只 有 拥有 对 应 私 钥 和 密码 的 对 方才 可 以 解 开 消 息 的 内 容 。 任 何人 截获 到 
也 没有 任何 意义 ,仅仅 是 一 堆 乱 码 。 

(8) 9. x 新 增 : PGP zip,PGP 压缩 包 。 该 功能 可 以 创建 类 似 其 他 压缩 软件 打包 压缩 后 
的 文件 包 , 但 不 同 的 是 其 拥有 坚不可摧 的 安全 性 。 

(9) 9. x 增强 : 网 络 共享 。 可 以 使 用 PGP 接管 共享 文件 夹 本 身 以 及 其 中 的 文件 ,安全 
性 远 远 高 于 操作 系统 本 身 提供 的 账号 验证 功能 。 并 且 可 以 方便 地 管理 允许 的 授权 用 户 可 以 
进行 的 操作 。 极 大 地 方便 了 需要 经 常 在 内 部 网 络 中 共享 文件 的 企业 用 户 ,使 他 们 免 受 蠕虫 
病毒 和 黑客 的 侵袭 。 


父 码 技术 


才 上 加 


4.6.1 PGP 的 技术 原理 


PGP 加 密 系统 是 采用 公开 密 钥 加 密 与 传统 密 钥 加 密 相 结合 的 一 种 加 密 技 术 。 它 使 用 
一 对 数学 上 相关 的 钥匙 ,其 中 一 个 ( 公 钥 ) 用 来 加 密 信 息 , 另 一 个 ( 私 钥 ) 用 来 解密 信息 。 

PGP 采用 的 传统 加 密 技术 部 分 所 使 用 的 密 钥 称 为 “会 话 密 钥 ”(sek)。 每 次 使 用 时 ， 
PGP 都 随机 产生 一 个 128 位 的 IDEA 会 话 密 钥 ,用 来 加 密 报 文 。 公 开 密 钥 加 密 技术 中 的 公 
钥 和 私 钥 则 用 来 加 密会 话 密 钥 ,并 通过 它 间接 地 保护 报 文 内 容 。 

PGP 中 的 每 个 公 钥 和 私 钥 都 伴随 着 一 个 密 钥 证 书 。 它 一 般 包含 以 下 内 容 : 

(1) 密 钥 内 容 ( 用 长 达 百 位 的 大 数字 表示 的 密 钥 ); 

(2) 密 钥 类 型 (表示 该 密 钥 为 公 钥 还 是 私 钥 ); 

(3) 密 钥 长 度 ( 密 钥 的 长 度 ,以 二 进 制 位 表示 ); 

(4) 密 钥 编号 (用 以 唯一 标识 该 密 钥 ); 

(5) 创建 时 间 ; 

(6) 用 户 标 识 ( 密 钥 创 建 人 的 信息 ,如 姓名 、 电 子 邮 件 等 ); 

(7) 密 钥 指纹 (为 128 位 的 数字 ,是 密 钥 内 容 的 提要 ,表示 密 钥 唯 一 的 特征 ); 

(8) 中 介 人 签名 (中 介 人 的 数字 签名 ,声明 该 密 钥 及 其 所 有 者 的 真实 性 ,包括 中 介 人 的 
密 钥 编号 和 标识 信息 ) 。 

PGP 把 公 钥 和 私 钥 存放 在 密 钥 环 (KEYR) 文 件 中 。PGP 提供 有 效 的 算法 查找 用 户 需 
要 的 密 钥 。PGP 在 多 处 需要 用 到 口令 , 它 主 要 起 到 保护 私 钥 的 作用 。 由 于 私 钥 太 长 且 无 规 
律 ,所 以 难以 记忆 。PGP 把 它 用 口令 加 密 后 存 人 密 钥 环 ,这 样 用 户 可 以 用 易 记 的 口令 间接 
使 用 私 钥 。 

PGP 的 每 个 私 钥 都 由 一 个 相应 的 口令 加 密 。PGP 主要 在 三 处 需要 用 户 输入 口令 : 

(1) 需要 解 开 收 到 的 加 密 信息 时 ,PGP 需要 用 户 输 入 口令 ,取出 私 钥 解 密 信息 ; 

(2) 当 用 户 需 要 为 文件 或 信息 签字 时 ,用户 输入 口令 ,取出 私 钥 加 密 ; 

(3) 对 磁盘 上 的 文件 进行 传统 加 密 时 ,需要 用 户 输入 口令 。 


4.6.2 PGP 的 密 钥 管理 


PGP 使 用 了 四 种 类 型 的 密 钥 : 一 次 性 会 话 对 称 密 钥 、 公 钥 、 私 钥 和 基于 口令 短语 的 对 称 
密 钥 。 

(1) 会 话 密 钥 ,使 用 CAST-128 算法 本 身 来 产生 随机 的 128 比特 数字 。 将 128 比特 的 
密 钥 和 两 个 作为 明文 的 64 比特 块 作为 输入 ,CAST-128 算法 用 密码 反馈 模式 加 密 这 两 个 
64 比特 块 ,并 将 密 文 块 连接 起 来 形成 128 比特 的 会 话 密 钥 。 两 个 作为 明文 输入 到 随机 数 发 
生 器 的 64 比特 块 来 自 于 128 比特 的 随机 数据 流 。 这 个 随机 数据 流 的 产生 是 以 用 户 的 击 键 
为 基础 的 , 击 键 时 间 和 键 值 用 于 产生 随机 数据 流 。 

(2) 密 钥 标 识 符 ,在 PGP 中 ,加 密 的 消息 与 加 密 的 会 话 密 钥 一 起 发 送 给 消息 的 接收 者 。 
会 话 密 钥 是 使 用 接收 者 的 公 钥 加 密 的 ,因此 ,只 有 接收 者 才能 够 恢复 会 话 密 钥 ,从 而 解密 消 
息 。 如 果 接 收 者 只 有 一 个 公 钥 / 私 钥 对 ,接收 者 就 会 自动 知道 用 哪个 密 钥 来 解密 会 话 密 钥 。 
但 如 上 所 述 ,一 个 用 户 可 能 拥有 多 个 公 钥 / 私 钥 对 ,这 种 情况 下 ,接收 者 如 何 知道 会 话 密 钥 是 
使 用 哪个 公 钥 加 密 的 呢 ? 一 个 简单 的 办 法 就 是 : 消息 的 发 送 者 将 加 密会 话 密 钥 的 公 钥 与 消 


息 一 起 传 过 去 ,接收 者 验证 收 到 的 公 钥 确实 是 自己 的 以 后 ,进行 解密 操作 。 但 这 样 做 会 造成 
空间 的 浪费 ,因为 RSA 的 密 钥 很 大 ,可 能 由 几 百 个 十 进位 组 成 。 

PGP 采用 的 解决 办 法 是 为 每 个 公 钥 分 配 一 个 密 钥 ID, 并 且 很 有 可 能 这 个 密 钥 ID 在 用 
户 ID 内 是 唯一 的 。 与 每 个 公 钥 关联 的 密 钥 ID 包含 公 钥 的 低 64 位 。 这 个 长 度 足 以 保证 密 
钥 发 生 重复 的 概率 非常 小 。 详 细 的 使 用 操作 请 参见 第 13 章 。 


4.7 软件 与 硬件 加 密 技术 


4.7.1 软件 加 密 


软件 加 密 一 般 是 用 户 在 发 送信 息 前 , 先 调用 信息 安全 模块 对 信息 进行 加 密 , 然 后 发 送 ， 
到 达 接 收 方 后 ,由 用 户 使 用 相应 的 解密 软件 进行 解密 并 还 原 。 软 件 加 密 的 方法 有 密码 表 加 
密 、 软 件 子 校 验方 式 .序列 号 加 密 .许可 证 管理 方式 钥匙 盘 方式 .光盘 加 密 等 。 

1. 序列 号 加 密 

现今 很 多 共享 软件 大 多 采用 这 种 加 密 方式 ,用 户 在 软件 的 试用 期 是 不 需要 交 费 的 ,一 旦 
试用 期 满 还 希望 继续 使 用 这 个 软件 ,就 必须 到 软件 公司 进行 注册 ,然后 软件 公司 会 根据 用 户 
提交 的 信息 (一 般 是 用 户 的 名 字 ) 来 生成 一 个 序列 号 , 当 收 到 这 个 序列 号 以 后 ,并 在 软件 运行 
的 时 候 输 入 进去 ,软件 会 验证 用 户 的 名 字 与 序列 号 之 间 的 关系 是 否 正确 ,如 果 正 确 说 明 用 户 
已 经 购买 了 这 个 软件 ,也 就 没有 日 期 的 限制 了 。 

2. 许可 证 加 密 

许可 证 加 密 是 序列 号 加 密 的 一 个 变种 。 从 网 上 下 载 或 购买 的 软件 并 不 能 直接 使 用 , 软 
件 在 安装 时 或 运行 时 会 对 用 户 的 计算 机 进行 一 番 检 测 ,并 根据 检测 结果 生成 一 个 特定 指纹 ， 
这 个 指纹 是 一 个 数据 文件 ,把 这 个 指纹 数据 通过 Internet、E-mail、 电 话 、 传 真 等 方式 发 送 到 
开发 商 那里 ,开发 商 再 根据 这 个 指纹 给 用 户 一 个 注册 码 或 注册 文件 ,用 户 得 到 这 个 注册 码 或 
注册 文件 并 按 软件 要 求 的 步骤 在 自己 的 计算 机 上 完成 注册 后 方 能 使 用 。 

但 是 采用 软件 加 密 方式 ,有 一 些 安全 隐患 : 

(1) 密 钥 的 管理 很 复杂 ,这 也 是 安全 API 实现 的 一 个 难题 ,从 目前 的 几 个 API 产品 来 
讲 , 密 钥 分 配 协议 均 有 缺陷 ; 

(2) 使 用 软件 加 密 , 因 为 是 在 用 户 的 计算 机 内 部 进行 ,容易 让 攻击 者 采用 跟踪 、 反 编译 
等 手段 进行 攻击 ; 

(3) 目前 国内 尚 无 自己 的 安全 API 产品 ,另外 软件 加 密 速 度 相 对 较 慢 。 


4.7.2 硬件 加 密 


硬件 加 密 则 是 采用 硬件 (电路 、 器 件 .部 件 等 ) 和 软件 结合 来 实现 的 加 密 , 对 硬件 本 身 
和 软件 采取 加 密 、 隐 藏 、 防 护 技术 ,防止 被 保护 对 象 被 攻击 者 破 析 、 破 译 。 硬 件 加 解密 是 
商业 或 军事 上 的 主流 ,硬件 加 密 的 方法 有 加 密 卡 、 软 件 狗 和 微 狗 等 。 硬件 加 密 具 有 以 下 
几 个 特点 。 

(1) 速度 问题 : 针对 位 的 操作 、 不 占用 计算 机 主 处 理 器 。 

(2) 安全 性 : 可 进行 物理 保护 ,由 硬件 完成 加 密 解 密 和 权限 检查 ,防止 破译 者 通过 反 汇 
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编 . 反 编译 分 析 破 译 。 

(3) 易于 安装 : 无 须 使 用 计算 机 的 电话 、 传 真 、 数 据 线 路 ; 计算 机 环境 下 ,使 用 硬件 加 密 
可 对 用 户 透明 ; 软件 实现 ,需要 在 操作 系统 深层 安装 ,不 容易 实现 。 

(4) 在 硬件 内 设置 自 毁 装置 ,一 旦 发 现 硬件 被 拆卸 或 程序 被 跟踪 ,促使 硬件 自 毁 ,使 破 
译 者 不 敢 进 行动 态 跟踪 。 

硬件 加 密 是 目前 广泛 采用 的 加 密 手 段 .加密 后 软件 执行 时 需 访问 相应 的 硬件 ,如 插 在 计 
算 机 扩展 槽 上 的 卡 或 插 在 计算 机 并 口上 的 “ 狗 "。 采 用 硬件 加 密 的 软件 执行 时 需 和 相应 的 硬 
件 交换 数据 , 若 没 有 相应 的 硬件 ,加 密 后 的 软件 将 无 法 执行 。 


4.8 数字 签名 与 数字 证 书 


4.8.1 数字 签名 


所 谓 数字 签名 就 是 附加 在 数据 单元 上 的 一 些 数据 ,或 是 对 数据 单元 所 做 的 密码 变换 。 
这 种 数据 或 变换 ,允许 数据 单元 的 接收 者 用 以 确认 数据 单元 的 来 源 和 数据 单元 的 完整 性 并 
保护 数据 ,防止 被 人 (例如 接收 者 ) 进 行 伪造 。 它 是 对 电子 形式 的 消息 进行 签名 的 一 种 方法 ， 
一 个 签名 消息 能 在 一 个 通信 网 络 中 传输 。 基 于 公 钥 密码 体制 和 私 钥 密码 体制 都 可 以 获得 数 
字 签 名 ,目前 主要 是 基于 公 钥 密码 体制 的 数字 签名 。 包 括 普通 数字 签名 和 特殊 数字 签名 。 
普通 数字 签名 算法 有 RSA、ElGamal、FiatrShamir、Guillou- Quisquarter、 Schnorr、 Ong- 
Schnorr-Shamir 数字 签名 算法 .Des/DSA ,椭圆 曲线 数字 签名 算法 和 有 限 自 动机 数字 签名 
算法 等 。 特 殊 数字 签名 有 盲 签名 .代理 签名 、 群 签名 ,不 可 和 否认 签名 ,公平 盲 签名 .门限 签名 、 
具有 消息 恢复 功能 的 签名 等 , 它 与 具体 应 用 环境 密切 相关 。 显 然 ,数字 签名 的 应 用 涉及 法 律 
问题 ,美国 联邦 政府 基于 有 限 域 上 的 离散 对 数 问题 制定 了 自己 的 数字 签名 标准 (DSS) 。 

数字 签名 技术 是 不 对 称 加 密 算 法 的 典型 应 用 。 数 字 签名 的 应 用 过 程 是 ,数据 源 发 送 方 
使 用 自己 的 私 钥 对 数据 校 验 和 其 他 与 数据 内 容 有 关 的 变量 进行 加 密 处 理 , 完 成 对 数据 的 合 
法 “签名 ”; 数据 接收 方 则 利用 对 方 的 公 钥 来 解读 收 到 的 “数字 签名 ”, 并 将 解读 结果 用 于 对 
数据 完整 性 的 检验 ,以 确认 签名 的 合法 性 。 数 字 签 名 技术 是 在 网 络 系统 虚拟 环境 中 确认 身 
份 的 重要 技术 ,完全 可 以 代替 现实 过 程 中 的 “亲笔 签字 ”, 在 技术 和 法 律 上 有 保证 。 在 公 钥 与 
私 钥 管 理 方面 ,数字 签名 应 用 与 加 密 邮 件 PGP 技术 正好 相反 。 在 数字 签名 应 用 中 , 发送 者 
的 公 钥 可 以 很 方便 地 得 到 ,但 他 的 私 钥 则 需要 严格 保密 。 

数字 签名 主要 的 功能 是 : 保证 信息 传输 的 完整 性 、 发 送 者 的 身份 认证 、 防 止 交易 中 的 抵 
赖 发 生 。 

数字 签名 技术 是 将 摘要 信息 用 发 送 者 的 私 钥 加 密 , 与 原文 一 起 传送 给 接收 者 。 接 收 者 
只 有 用 发 送 的 公 钥 才能 解密 被 加 密 的 摘要 信息 ,然后 用 哈 希 函数 对 收 到 的 原文 产生 一 个 摘 
要 信息 ,与 解密 的 摘要 信息 对 比 。 如 果 相 同 , 则 说 明 收 到 的 信息 是 完整 的 ,在 传输 过 程 中 没 
有 被 修改 ,否则 说 明 信 息 被 修改 过 ,因此 数字 签名 能 够 验证 信息 的 完整 性 。 

假定 A 需要 传送 一 份 合同 给 B,B 需要 确认 合同 的 确 是 A 发 送 的 ,同时 还 需要 确定 合 
同 在 传输 途中 未 被 修改 。 

通过 比较 标记 1 和 标记 2 .就 可 以 确认 合同 是 否 是 A 发 送 的 以 及 合同 在 传输 途中 是 否 


被 修改 ,工作 流程 如 图 4. 9 所 示 。 
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图 4.9 数字 签名 的 工作 流程 


4.8.2 数字 证 书 


当 人 们 对 签名 人 同 公开 密 钥 的 对 应 关系 产生 疑问 时 ,需要 第 三 方 颁 证 机 构 证 书 认 证 中 
心 (Certificate Authorities,CA) 的 帮助 。 

由 于 电子 商务 技术 使 在 网 上 购物 的 顾客 能 够 极其 方便 地 获得 商家 和 企业 的 信息 ,但 同 
时 也 增加 了 某 些 敏 感 或 有 价值 的 数据 被 滥用 的 风险 。 为 了 保证 互联 网 上 电子 交易 及 支付 的 
安全 性 和 保密 性 ,防范 交易 及 支付 过 程 中 的 欺诈 行为 ,必须 在 网 上 建立 一 种 信任 机 制 。 这 就 
要 求 参加 电子 商务 的 买方 和 卖方 都 必须 拥有 合法 的 身份 ,并 且 在 网 上 能 够 有 效 无 误 地 被 验 
证 。 数 字 证 书 是 一 种 权威 性 的 电子 文档 , 它 提 供 了 一 种 在 Internet 上 验证 身份 的 方式 ,其 作 
用 类 似 于 司机 的 驾驶 执照 或 日 常生 活 中 的 身份 证 。 它 是 由 权威 机 构 CA 证 书 授权 中 心 发 行 
的 ,人 们 可 以 在 互联 网 交往 中 用 它 来 识别 对 方 的 身份 。 当 然 在 数字 证 书 认证 的 过 程 中 ,证 书 
认证 中 心 (CA) 作 为 权威 的 公正 的 、 可 信赖 的 第 三 方 ,其 作用 是 至 关 重 要 的 。 

数字 证 书 也 必须 具有 唯一 性 和 可 靠 性 。 为 了 达到 这 一 目的 ,需要 采用 很 多 技术 来 实现 。 
通常 ,数字 证 书 采用 公 钥 体制 , 即 利用 一 对 互相 匹配 的 密 钥 进 行 加 密 、 解 密 。 每 个 用 户 自己 
设 定 一 把 特定 的 仅 为 本 人 所 有 的 私 钥 , 用 它 进行 解密 和 签名 ; 同时 设 定 一 把 公 钥 并 由 本 人 
公开 ,为 一 组 用 户 所 共享 ,用 于 加 密 和 验证 签名 。 当 发 送 一 份 保密 文件 时 ,发 送 方 使 用 接收 
方 的 公 钥 对 数据 加 密 ,而 接收 方 则 使 用 自己 的 私 钥 解 密 , 这 样 信息 就 可 以 安全 无 误 地 到 达 目 
的 地 了 。 通 过 数字 的 手段 保证 加 密 过 程 是 一 个 不 可 逆 过 程 , 即 只 有 用 私有 密 钥 才能 解密 。 
公开 密 钥 技术 解决 了 密 钥 发 布 的 管理 问题 ,用 户 可 以 公开 其 公开 密 钥 ,而 保留 其 私有 密 钥 。 

数字 证 书 使 用 过 程 一 般 如 图 4. 10 所 示 ,用户 首 先 向 CA 机 构 申 请 一 份 数字 证 书 , 申 请 
过 程 会 生成 他 的 公开 /私有 密 钥 对 。 公 开 密 钥 被 发 送 给 CA 机 构 ,CA 机 构 生 成 证 书 , 并 用 
自己 的 私有 密 钥 签发 ,同时 向 用 户 发 送 一 份 备份 。 用 户 用 数字 证 书 把 文件 加 上 签名 ,然后 把 
原始 文件 同 签名 一 起 发 送 给 自己 的 同事 。 用 户 的 同事 从 CA 机 构 查 到 用 户 的 数字 证 书 , 用 
证 书 中 的 公开 密 钥 对 签名 进行 验证 。 

基于 数字 证 书 的 应 用 角度 分 类 ,数字 证 书 可 以 分 为 以 下 几 种 。 

1. 服务 器 证 书 

服务 器 证 书 被 安装 于 服务 器 设备 上 ,用 来 证 明 服务 器 的 身份 和 进行 通信 加 密 。 服 务 器 
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图 4. 10 数字 证 书 的 使 用 过 程 


证 书 可 以 用 来 防止 假冒 站 点 。 

在 服务 器 上 安装 服务 器 证 书后 ,客户 端 浏 览 器 可 以 与 服务 器 证 书 建立 SSL 连接 ,在 
SSL 连接 上 传输 的 任何 数据 都 会 被 加 密 。 同 时 ,浏览 器 会 自动 验证 服务 器 证 书 是 否 有 效 ， 
验证 所 访问 的 站 点 是 否 是 假冒 站 点 。 服 务 器 证 书 保护 的 站 点 多 被 用 来 进行 密码 登录 、 订 单 
处 理 , 网 上 银行 交易 等 。 全 球 知名 的 服务 器 证 书 品牌 是 verisign、thawte、geotrust 等 ,其 服 
务 器 证 书 编制 起 来 的 可 信和 网 络 已 履 盖 全 球 。 

SSL 证 书 主要 用 于 服务 器 的 数据 传输 链 路 加 密 和 身份 认证 , 绑 定 网 站 域名 ,不 同 的 产 
品 对 于 不 同 价值 的 数据 和 要 求 不 同 的 身份 认证 。 超 真 SSL 和 超 快 SSL 在 颁发 时 间 上 已 经 
没有 什么 区 别 ,主要 区 别 在 于 : 超 快 SSL 只 验证 域名 所 有 权 ,证书 中 不 显示 单位 名 称 ; 而 超 
真 SSL 需要 验证 域名 所 有 权 ,营业 执 照 和 第 三 方 数据 库 验 证 ,证书 中 显示 单位 名 称 。 

2. 电子 邮件 证 书 

电子 邮件 证 书 可 以 用 来 证 明 电 子 邮件 发 件 人 的 真实 性 。 它 并 不 证 明 数 字 证 书 上 面 CN 
一 项 所 标识 的 证 书 所 有 者 姓名 的 真实 性 , 它 只 证 明 邮 件 地 址 的 真实 性 。 

收 到 具有 有 效 电子 签名 的 电子 邮件 ,我 们 除了 能 相信 邮件 确实 由 指定 邮箱 发 出 外 ,还 可 
以 确信 该 邮件 从 被 发 出 后 没有 被 算 改 过 。 

另外 ,使 用 接收 的 邮件 证 书 , 我 们 还 可 以 向 接收 方 发 送 加 密 邮 件 。 该 加 密 邮 件 可 以 在 非 
安全 网 络 传输 ,只 有 接收 方 的 持 有 者 才 可 能 打开 该 邮件 。 

3. 客户 端 个 人 证 书 

客户 端 证 书 主要 被 用 来 进行 身份 验证 和 电子 签名 。 安 全 的 客户 端 证 书 被 存储 于 专用 的 
usbkey 中 。 存 储 于 key 中 的 证 书 不 能 被 导出 或 复制 ,上 且 key 使 用 时 需要 输入 key 的 保护 密 
码 。 使 用 该 证 书 需要 物理 上 获得 其 存储 介质 usbkey, 且 需要 知道 key 的 保护 密码 ,这 也 被 
称 为 双 因 子 认证 。 这 种 认证 手段 是 目前 在 Internet 最 安全 的 身份 认证 手段 之 一 。 

客户 端 证 书 分 超 真 单位 证 书 、 超 真 个 人 证 书 、 超 快 个 人 证 书 、.PDF 文件 签名 证 书 等 。 

数字 证 书 相 当 于 电子 化 的 身份 证 明 , 应 有 值得 信赖 的 颁 证 机 构 (CA 机 构 ) 的 数字 签名 ， 
可 以 用 来 强力 验证 某 个 用 户 或 某 个 系统 的 身份 及 其 公开 密 钥 。 

数字 证 书 既 可 以 向 一 家 公共 的 办 证 机 构 申 请 ,也 可 以 向 运转 在 企业 内 部 的 证 书 服务 器 
申请 。 这 些 机 构 提供 证 书 的 签发 和 失效 证 明 服 务 。 


4.9 PKI 基 础 知识 


PKI(Public Key Infrastructure) 即 “公开 密 钥 体系 ”, 是 一 种 遵循 既定 标准 的 密 钥 管理 
平台 , 它 能 够 为 所 有 网 络 应 用 提供 加 密 和 数字 签名 等 密码 服务 及 所 必需 的 密 钥 和 证 书 管理 
体系 ,简单 来 说 ,PKI 就 是 利用 公 钥 理论 和 技术 建立 的 提供 安全 服务 的 基础 设施 。PKI 技术 
是 信息 安全 技术 的 核心 ,也 是 电子 商务 的 关键 和 基础 技术 。 


4.9.1 PKI 的 基本 组 成 


完整 的 PKI 系统 必须 具有 权威 认证 机 构 (CA) 数字 证 书库 、 密 钥 备份 及 恢复 系统 、 证 
书 作废 系统 .应 用 接口 (API) 等 基本 构成 部 分 ,构建 PKI 也 将 围绕 着 这 五 大 系统 来 着 手 
构建 。 

(1) 认证 机 构 , 即 数字 证 书 的 申请 及 签发 机 关 ,CA 必须 具备 权威 性 的 特征 。 

(2) 数字 证 书库 ,用 于 存储 已 签发 的 数字 证 书 及 公 钥 ,用户 可 由 此 获得 所 需 的 其 他 用 户 
的 证 书 及 公 钥 。 

(3) 密 钥 备 份 及 恢复 系统 ,如 果 用 户 丢 失 了 用 于 解密 数据 的 密 钥 , 则 数据 将 无 法 被 解 
密 , 这 将 造成 合法 数据 丢失 。 为 避免 这 种 情况 ,PKI 提供 备份 与 恢复 密 钥 的 机 制 。 但 须 注 
意 , 密 钥 的 备份 与 恢复 必须 由 可 信 的 机 构 来 完成 。 并 且 , 密 钥 备 份 与 恢复 只 能 针对 解密 密 
钥 , 签 名 私 钥 为 确保 其 唯一 性 而 不 能 够 作 备 份 。 

(4) 证 书 作废 系统 ,是 PKI 的 一 个 必 备 的 组 件 。 与 日 常生 活 中 的 各 种 身份 证 件 一 样 ,证 
书 有 效 期 以 内 也 可 能 需要 作废 ,原因 可 能 是 密 钥 介质 丢失 或 用 户 身份 变更 等 。 为 实现 这 一 
点 ,PKI 必须 提供 作废 证 书 的 一 系列 机 制 。 

(5) 应 用 接口 ,PKI 的 价值 在 于 使 用 户 能 够 方便 地 使 用 加 密 、 数 字 签名 等 安全 服务 , 因 
此 一 个 完整 的 PKI 必须 提供 良好 的 应 用 接口 系统 ,使 得 各 种 各 样 的 应 用 能 够 以 安全 一致、 
可 信和 的 方式 与 PKI 交互 ,确保 安全 网 络 环境 的 完整 性 和 易 用 性 。 


4.9.2 PKI 的 安全 服务 功能 


为 网 上 金融 、 网 上 银行 、 网 上 证 券 .电子 商务 .电子 政 务 、 网 上 交 税 、 网 上 工商 等 多 种 网 上 
办 公交 易 提供 完备 的 安全 服务 功能 ,是 公 钥 基础 设施 最 基本 、 最 核心 的 功能 。PKI 体系 作 
为 基础 设施 要 做 到 : 遵循 必要 的 原则 ,不 同 的 实体 可 以 方便 地 使 用 PKI 安全 基础 设施 提供 
的 服务 。 安 全 服务 功能 包括 身份 认证 、 完 整 性 ,机密 性 不 可 否认 性 、 时 间 惟 和 数据 的 公正 性 
服务 。 

1. 网 上 身份 安全 认证 

由 于 网 络 使 用 者 匿名 的 特点 ,每 个 人 都 可 以 通过 一 定 的 手段 假冒 别人 的 身份 实施 非法 的 
操作 和 网 上 交易 ,从 而 对 系统 或 合法 用 户 造成 危害 ,因此 ,网 上 的 身份 认证 在 网 络 出 现 以 来 就 
一 直 是 人 们 关注 和 研究 的 热点 。 人 们 已 经 认识 到 网 上 身份 认证 是 一 切 电子 商务 应 用 的 基础 。 

认证 的 实质 就 是 证 实 被 认证 对 象 是 否 属实 和 是 否 有 效 的 过 程 ,常常 被 用 于 通信 双方 相 
互 确认 身份 ,以 保证 通信 的 安全 。 其 基本 思想 是 通过 验证 被 认证 对 象 的 某 个 专 有 属性 ,达到 
确认 被 认证 对 象 是 否 真实 ` 有 效 的 目的 。 被 认证 对 象 的 属性 可 以 是 口令 .数字 签名 或 者 指 
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纹 、 声 音 、 视 网 膜 这 样 的 生理 特征 等 。 目 前 ,实现 认证 的 技术 手段 很 多 ,通常 有 口令 技术 加 
ID( 实 体 唯一 标识 ) 、 双 因素 认证 、 挑 战 应 答 式 认证 、 著 名 的 Kerberos 认证 系统 ,以 及 X. 509 
证 书 及 认证 框架 。 这 些 不 同 的 认证 方法 所 提供 的 安全 认证 强度 也 不 一 样 ,具有 各 自 的 优势 、 
不 足 , 以 及 所 适用 的 安全 强度 要 求 不 同 的 应 用 环境 。 而 解决 网 上 电子 身份 认证 的 PKI 技术 
近年 来 被 广泛 应 用 ,并 取得 了 飞速 的 发 展 ,在 网 上 银行 .电子 政务 等 保护 用 户 信息 资产 等 领 
域 发 挥 了 巨大 的 作用 。 

数字 签名 技术 是 基于 公 钥 密码 学 的 强 认证 技术 ,其 中 每 个 参与 交易 的 实体 都 拥有 一 对 
签名 的 密 钥 。 每 个 参与 的 交易 者 都 自己 掌握 进行 签名 的 私 钥 , 私 钥 不 在 网 上 传输 ,因此 只 有 
签名 者 自己 知道 签名 私 钥 ,从 而 保证 其 安全 。 公 开 的 是 进行 验证 签名 的 公 钥 。 因 此 只 要 私 
钥 安 全 ,就 可 以 有 效 地 对 产生 该 签名 的 声称 者 进行 身份 验证 ,保证 交互 双方 的 身份 真实 性 。 

为 了 保证 公 钥 的 可 靠 性 , 即 保证 公 钥 与 其 拥有 者 的 有 效 绑 定 ,通过 PKI 体系 中 的 权威 、 
公正 的 第 三 方 一 一 认证 中 心 (CA) ,为 所 服务 的 PKI 域内 的 相关 实体 签发 一 个 网 上 身份 证 
即 数字 证 书 , 来 保证 公 钥 的 可 靠 性 ,以 及 它 与 合法 用 户 的 对 应 关系 。 数 字 证 书 中 主要 包含 的 
就 是 证 书 所 有 者 的 信息 ,证 书 所 有 者 的 公开 密 钥 和 证 书 颁发 机 构 的 签名 ,以 及 有 关 的 扩展 内 
容 等 。 具 备 了 这 些 条 件 ,就 可 以 在 具体 的 业务 中 有 效 实现 交易 双方 的 身份 认证 。 

2. 保证 数据 完整 性 

数据 的 完整 性 就 是 防止 非法 算 改 信息 ,如 修改 、 复 制 .插入 、 删 除 等 。 在 交易 过 程 中 ,要 
确保 交易 双方 接收 到 的 数据 和 从 数据 源 发 出 的 数据 完全 一 致 ,数据 在 传输 和 存储 的 过 程 中 
不 能 被 自 改 ,否则 交易 将 无 法 完成 或 所 做 交易 违背 交易 意图 。 

但 直接 观察 原始 数据 的 状态 来 判断 其 是 否 改变 ,在 很 多 情况 下 是 不 可 行 的 。 如 果 数 据 
量 很 大 ,将 很 难 判 断 其 是 否 被 算 改 , 即 完整 性 很 难得 到 保证 。 为 了 保证 数据 的 完整 性 ,已 出 
现 了 各 种 不 同 的 安全 机 制 和 方法 。 其 中 在 电子 商务 和 网 络 安全 领域 使 用 最 多 的 就 是 密码 学 
为 我 们 提供 的 数据 完整 性 机 制 和 方法 。 

在 国内 PKI 体系 所 实现 的 方案 中 ,目前 采用 的 标准 散 列 算法 有 SHA-1、MD-5 作为 可 选 
的 Hash 算法 来 保证 数据 的 完整 性 。 在 实际 应 用 中 ,通信 双方 通过 协商 以 确定 使 用 的 算法 
和 和 密 钥 ,从 而 在 两 端 计算 条 件 一 致 的 情况 下 ,对 同一 数据 应 当 计算 出 相同 的 算法 来 保证 数据 
不 被 自 改 ,实现 数据 的 完整 性 。 

3. 保证 网 上 交易 的 抗 否认 性 

不 可 否认 用 于 从 技术 上 保证 实体 对 他 们 行为 的 诚实 , 即 参 与 交互 的 双方 都 不 能 事后 否 
认 自 己 曾 经 处 理 过 的 每 笔 业务 。 在 这 中 间 , 人 们 更 关注 的 是 数据 来 源 的 不 可 否认 性 、 发 送 方 
的 不 可 否认 性 ,以 及 接收 方 在 接收 后 的 不 可 否认 性 。 此 外 ,还 有 传输 的 不 可 否认 性 、 创 建 的 
不 可 否认 性 和 同意 的 不 可 否认 性 等 。PKI 所 提供 的 不 可 否认 功能 ,是 基于 数字 签名 以 及 其 
所 提供 的 时 间 戳 服务 功能 的 。 

在 进行 数字 签名 时 ,签名 私 钥 只 能 被 签名 者 自己 掌握 ,系统 中 的 其 他 参与 实体 无 法 得 到 
该 密 钥 ,这 样 只 有 签名 者 自己 能 做 出 相应 的 签名 ,其 他 实体 是 无 法 做 出 这 样 的 签名 的 。 这 
样 , 签 名 者 从 技术 上 就 不 能 否认 自己 做 过 该 签名 。 为 了 保证 签名 私 钥 的 安全 ,一 般 要 求 这 种 
密 钥 只 能 在 防 算 改 的 硬件 令 牌 上 产生 ,并 且 永 远 不 能 离开 令 牌 ,以 保证 签名 私 钥 的 安全 。 
再 利用 PKI 提供 的 时 间 戳 功能 ,安全 时 间 玲 服 务 用 来 证 明 某 个 特别 事件 发 生 在 某 个 特 
定 的 时 间 ,或 某 段 特 别 数据 在 某 个 日 期 已 存在 。 这 样 , 签 名 者 对 自己 所 做 的 签名 将 无 法 进行 


否认 。 

4. 提供 时 间 戳 服务 

时 间 戳 也 叫做 安全 时 间 戳 ,是 一 个 可 信 的 时 间 权 威 ,使 用 一 段 可 以 认证 的 完整 数据 表示 
的 时 间 戳 。 最 重要 的 不 是 时 间 本 身 的 精确 性 ,而 是 相关 时 间 .日 期 的 安全 性 。 支 持 不 可 和 否认 
服务 的 一 个 关键 因素 就 是 在 PKI 中 使 用 安全 时 间 戳 ,也 就 是 说 ,时 间 源 是 可 信 的 ,时 间 值 必 
须 特 别 安全 地 传送 。 

PKI 中 必须 存在 用 户 可 信任 的 权威 时 间 源 ,权威 时 间 源 提供 的 时 间 并 不 需要 正确 ,仅仅 
需要 用 户 作为 一 个 参照 "时间 ”, 以 便 完 成 基于 PKI 的 事物 处 理 , 如 事件 A 发 生 在 事件 B 的 
前 面 等 。 一 般 的 PKI 系 统 中 都 设置 一 个 时 钟 系统 统一 PKI 的 时 间 。 当 然 也 可 以 使 用 世界 
官方 时 间 源 所 提供 的 时 间 , 其 实现 方法 是 从 网 络 中 这 个 时 钟 位 置 获得 安全 时 间 。 要 求实 体 
在 需要 的 时 候 向 这 些 权威 请 求 在 数据 上 盖 上 时 间 戳 。 一 份 文档 上 的 时 间 戳 涉及 对 时 间 和 文 
档 内容 哈 希 值 的 数字 签名 。 权 威 的 签名 提供 了 数据 的 真实 性 和 完整 性 。 

虽然 安全 时 间 戳 是 PKI 支撑 的 服务 ,但 它 依 然 可 以 在 不 依赖 PKI 的 情况 下 实现 安全 时 
间 鹤 服 务 。 一 个 PKI 体系 中 是 否 需要 实现 时 间 截 服务 ,完全 依照 应 用 的 需求 来 决定 。 

s. 保证 数据 的 公正 性 

PKI 中 支持 的 公证 服务 是 指 “ 数 据 认 证 ”, 也 就 是 说 ,公证 人 要 证 明 的 是 数据 的 有 效 性 和 
正确 性 ,这 种 公证 取决 于 数据 验证 的 方式 。 与 公证 服务 ,一般 社会 公证 人 提供 的 服务 有 所 不 
同 , 在 PKI 中 被 验证 的 数据 是 基于 杂凑 值 的 数字 签名 、 公 钥 在 数学 上 的 正确 性 和 签名 私 钥 
的 合法 性 。 

PKI 的 公证 人 是 一 个 被 其 他 PKI 实体 所 信任 的 实体 ,能 够 正确 地 提供 公证 服务 。 它 主 
要 是 通过 数字 签名 机 制 证 明 数据 的 正确 性 ,所 以 其 他 实体 需要 保存 公证 人 的 验证 公 钥 的 正 
确 备份 ,以 便 验 证 和 相信 作为 公证 的 签名 数据 。 

通常 来 说 ,CA 是 证 书 的 签发 机 构 , 它 是 PKI 的 核心 。 众 所 周知 ,构建 密码 服务 系统 的 
核心 内 容 是 如 何 实现 密 钥 的 管理 。 公 钥 体制 涉及 一 对 密 钥 ( 即 私 钥 和 公 钥 ), 私 钥 由 用 户 独 
立 掌 握 ,无 须 在 网 上 传输 ,而 公 钥 则 是 公开 的 ,需要 在 网 上 传送 , 故 公 钥 体制 的 密 钥 管 理 主要 
是 针对 公 钥 的 管理 问题 ,目前 较 好 的 解决 方案 是 数字 证 书 机 制 。 


4.10 认证 机 构 


CA(Certificate Authority) 即 “认证 机 构 ”, 是 负责 签发 证 书 、 认 证 证 书 、 管 理 已 颁发 证 书 
的 机 构 , 是 PKI 的 核心 。CA 要 制定 政策 和 具体 步骤 来 验证 .识别 用 户 的 身份 ,对 用 户 证 书 
进行 签名 ,以 确保 证 书 持 有 者 的 身份 和 公 钥 的 拥有 权 。CA 也 拥有 自己 的 证 书 (内 含 共 钥 ) 
和 私 钥 ,网 上 用 户 通 过 验证 CA 的 签字 从 而 信任 CA, 任 何 用 户 都 可 以 得 到 CA 的 证 书 , 用 以 
验证 它 所 签发 的 证 书 。CA 必须 是 各 行业 各 部 门 及 公众 共同 信任 的 .认可 的 、 权 威 的 .不 参 
与 交易 的 第 三 方 网 上 身份 认证 机 构 。 


4.10.1 CA 认证 机 构 的 功能 


1. 证 书 的 颁发 
中 心 接收 、 验 证 用 户 (包括 下 级 认证 中 心 和 最 终 用 户 ) 的 数字 证 书 的 申请 ,将 申请 的 内 容 
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进行 备案 ,并 根据 申请 的 内 容 确定 是 否 受理 该 数字 证 书 申请 。 如 果 中 心 接受 该 数字 证 书 申 
请 , 则 进一步 确定 给 用 户 颁 发 何 种 类 型 的 证 书 。 新 证 书 用 认证 中 心 的 私 钥 签 名 以 后 ,发 送 到 
目录 服务 器 供用 户 下 载 和 查询 。 为 了 保证 消息 的 完整 性 ,返回 给 用 户 的 所 有 应 答 信息 都 要 
使 用 认证 中 心 的 签名 。 

2. 证 书 的 更 新 

认证 中 心 可 以 定期 更 新 所 有 用 户 的 证 书 ,或 者 根据 用 户 的 请 求 来 更 新 用 户 的 证 书 。 

3. 证 书 的 查询 

证 书 的 查询 可 以 分 为 两 类 ,其 一 是 证 书 申请 的 查询 ,认证 中 心 根据 用 户 的 查询 请 求 返回 
当前 用 户 证 书 申请 的 处 理 过 程 ; 其 二 是 用 户 证 书 的 查询 ,这 类 查询 由 目录 服务 器 来 完成 , 目 
录 服 务 器 根据 用 户 的 请 求 返回 适当 的 证 书 。 

4. 证 书 的 作废 

当 用 户 的 私 钥 由 于 泄密 等 原因 造成 用 户 证 书 需要 申请 作废 时 ,用 户 需 要 向 认证 中 心 提 
出 证 书 作 上 废 的 请 求 ,认证 中 心 根据 用 户 的 请 求 确定 是 否 将 该 证 书 作 废 。 另 外 一 种 证 书 作废 
的 情况 是 证 书 已 经 过 了 有 效 期 ,认证 中 心 自动 将 该 证 书 作 废 。 认 证 中 心 通过 维护 证 书 作废 
列表 (Certificate Revocation List、CRL) 来 完成 上 述 功 能 。 

5. 证 书 的 归档 

证 书 具 有 一 定 的 有 效 期 ,证书 过 了 有 效 期 之 后 就 将 作废 ,但 是 不 能 将 作废 的 证 书简 单 地 
丢弃 ,因为 有 时 可 能 需要 验证 以 前 的 某 个 交易 过 程 中 产生 的 数字 签名 ,这 时 就 需要 查询 作废 
的 证 书 。 基 于 此 类 考虑 ,认证 中 心 还 应 当 具 备 管理 作废 证 书 和 作废 私 钥 的 功能 。 


4.10.2 CA 系统 的 组 成 


一 个 典型 的 CA 系统 包括 安全 服务 器 .注册 机 构 RA、CA 服务 器 、LDAP 目录 服务 器 和 
数据 库 服务 器 等 ,如 图 4. 11 所 示 。 
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数据 库 服务 器 | LDAP 服务 器 | “| 数据 库 服务 器 | LDAP 服务 器 
证 书 下 载 或 查询 


图 4.11 典型 CA 中 心 示 意图 


(1) 安全 服务 器 ,面向 普通 用 户 , 用 于 提供 证 书 申请 、 浏 览 ,证 书 撤 销 列表 以 及 证 书 下 载 
等 安全 服务 。 安 全 服务 器 与 用 户 的 通信 采取 安全 信道 方式 (如 SSL 的 方式 ,不 需要 对 用 户 
进行 身份 认证 ) 。 用 户 首先 得 到 安全 服务 器 的 证 书 (该 证 书 由 CA 颁发 ) ,然后 用 户 与 服务 器 
之 间 的 所 有 通信 ,包括 用 户 填写 的 申请 信息 以 及 浏览 器 生成 的 公 钥 均 以 安全 服务 器 的 密 钥 


进行 加 密 传输 ,只 有 安全 服务 器 利用 自己 的 私 钥 解 密 才能 得 到 明文 ,这 样 可 以 防止 其 他 人 通 
过 窃听 得 到 明文 。 从 而 保证 了 证 书 申请 和 传输 过 程 中 的 信息 安全 性 。 

(2) CA 服务 器 ,是 整个 证 书 机 构 的 核心 ,负责 证 书 的 签发 。CA 首先 产生 自身 的 私 钥 
和 公 钥 ( 密 钥 长 度 至 少 为 1024 位 ) ,然后 生成 数字 证 书 , 并 且 将 数字 证 书 传输 给 安全 服务 器 。 
CA 还 负责 为 操作 员 、 安 全 服务 器 以 及 注册 机 构 服务 器 生成 数字 证 书 。 安 全 服务 器 的 数字 
证 书 和 私 钥 也 需要 传输 给 安全 服务 器 。CA 服务 器 是 整个 结构 中 最 为 重要 的 部 分 , 存 有 CA 
的 私 钥 以 及 发 行 证 书 的 脚本 文件 ,出 于 安全 的 考虑 ,应 将 CA 服务 器 与 其 他 服务 器 隔离 , 任 
何 通 信 采 用 人 工 干 预 的 方式 ,确保 认证 中 心 的 安全 。 

(3) 注册 机 构 RA ,面向 登记 中 心 操 作 员 ,在 CA 体系 结构 中 起 承上启下 的 作用 ,一 方面 
向 CA 转发 安全 服务 器 传输 过 来 的 证 书 申请 请 求 , 另 一 方面 向 LDAP 服务 器 和 安全 服务 器 
转发 CA 颁发 的 数字 证 书 和 证 书 撤销 列表 。 

(4) LDAP 服务 器 ,提供 目录 浏览 服务 ,负责 将 注册 机 构 服 务 器 传输 过 来 的 用 户 信息 以 
及 数字 证 书 加 入 到 服务 器 上 。 这 样 其 他 用 户 通过 访问 LDAP 服务 器 就 能 够 得 到 其 他 用 户 
的 数字 证 书 。 

(5) 数据 库 服务 器 ,是 认证 机 构 中 的 核心 部 分 ,用 于 认证 机 构 中 数据 (如 密 钥 和 用 户 信 
息 等 ) 日 志和 统计 信息 的 存储 和 管理 。 实 际 的 数据 库 系 统 应 采用 多 种 措施 ,如 磁盘 阵列 、 双 
机 备份 和 多 处 理 器 等 方式 ,以 维护 数据 库 系 统 的 安全 性 .稳定 性 .可 伸缩 性 和 高 性 能 。 


4.10.3 国内 CA 现状 


为 促进 电子 商务 在 中 国 的 顺利 开展 ,一 些 行业 都 已 建成 了 自己 的 一 套 CA 体系 ,如 中 国 
电信 CA 安全 认证 体系 (CTCA) .中 国 金融 认证 中 心 CCFCA) 等 ; 还 有 一 些 行政 区 也 建立 了 
或 正在 建立 区 域 性 的 CA 体系 ,如 上 海 电 子 商 务 CA 认证 中 心 CSHECA) .广东 省 电子 商务 
认证 中 心 (CNCA), 海 南 省 电子 商务 认证 中 心 (CNCA)、 云 南 省 电子 商务 认证 中 心 
(CNCA) 等 。 

1. 中 国电 信 CA 安全 认证 系统 

中 国电 信 自 1997 年 底 , 开 始 在 长 沙 进 行 电子 商务 试点 工作 ,由 长 沙 电 信和 局 负责 组 织 。 
CTCA 是 国内 最 早 的 CA 中 心 。1999 年 8 月 3 日 ,中 国电 信 CA 安全 认证 系统 通过 国家 密 
码 委员 会 和 信息 产业 部 的 联合 鉴定 ,并 获得 国家 信息 产品 安全 认证 中 心 颁发 的 认证 证 书 , 成 
为 首 家 允许 在 公 网 上 运营 的 CA 安全 认证 系统 。 目 前 ,中 国电 信 可 以 在 全 国 范围 内 向 用 户 
提供 CA 证 书 服务 。 

中 国电 信 CTCA 系统 有 一 套 完 善 的 证 书 发 放 体系 和 管理 制度 。 体 系 采用 三 级 管理 结 
构 : 全 国 CA 安全 认证 中 心 (包括 全 国 CTCA 中 心 .CTCA 湖南 备份 中 心 ) .省 级 RA 中 心 以 
及 地 市 业务 受理 点 ,在 2000 年 6 月 形成 覆盖 全 国 的 CA 证 书 申请 ,发放 、 管 理 的 完整 体系 。 
系统 为 参与 电子 商务 的 不 同 用 户 提供 个 人 证 书 、 企 业 证 书 和 服务 器 证 书 。 同 时 ,中 国电 信 还 
组 织 制定 了 《中 国电 信和 电子 商务 总 体 技术 规范 》《 中 国电 信 CTCA 接口 标准 》《 网 上 支付 系 
统 的 接口 标准 》《 中 国电 信 电 子 商务 业务 管理 办 法 》 等 ,而 且 中 国电 信 向 社会 免费 公布 
CTCA 系统 接口 标准 和 API 软件 包 ,为 更 多 的 电子 商务 应 用 开发 商 提 供 CTCA 系统 的 支持 
与 服务 。 中 国电 信 已 经 与 银行 .证券 .民航 ,工商 ,税务 等 多 个 行业 联合 开发 出 了 网 上 安全 支 
付 系统 .电子 缴费 系统 .电子 银行 系统 .电子 证 券 系 统 、 安 全 电子 邮件 系统 .电子 订 票 系统 、 网 


窜 码 技 大 


地 上 加 


网 络 安 会 与 管理 


上 购物 系统 .网 上 报税 等 一 系列 基于 中 国电 信 CTCA 系统 的 电子 商务 应 用 ,已 经 初步 建立 
起 中 国电 信 电 子 商务 平台 。 

2. 中 国 金 融 认证 中 心 (CFCA) 

中 国 金融 认证 中 心 (CFCA) 是 由 中 国人 民 银 行 牵头 ,联合 中 国 工商 银行 .中 国 农业 银 
行 .中 国 银行 .中 国 建设 银行 .交通 银行 .招商 银行 .中 信 实 业 银 行 、. 华 夏 银行 .广东 发 展 银行 、 
深圳 发 展 银行 .光大 银行 .民生 银行 等 十 二 家 商业 银行 共同 建设 了 中 国 金融 认证 中 心 (China 
Financial Certificate Authority,CFCA) 。 中 国 金 融 认证 中 心 的 项 目 包 括 建设 SET CA 和 
Non-SET CA 两 套 系统 ,工程 于 1999 年 8 月 30 日 开始 实施 。SET CA 由 IBM 公司 负责 承 
建 ,Non-SET CA 由 Entrust 公司 .SUN 和 得 达 创 新 联合 建设 。 

Non-SET CA 系统 于 2000 年 1 月 19 日 发 放 了 第 一 批 试验 证 书 ,SET 系统 于 2000 年 3 
月 30 日 试 发 了 第 一 批 证 书 。 于 2000 年 6 月 20 日 通过 了 由 国家 密码 管理 委员 会 和 人 民 银 
行 支付 科技 司 联合 主持 的 密码 产品 本 地 化 工作 的 安全 性 审查 。 于 2000 年 6 月 29 日 开始 对 
社会 各 界 提 供 证 书 服务 ,系统 进入 运行 状态 。 

中 国 金 融 认 证 中 心 专门 负责 为 金融 业 的 各 种 认证 需求 提供 证 书 服务 ,包括 电子 商务 、 网 
上 银行 .网 上 证 券 交 易 .支付 系统 和 管理 信息 系统 等 ,为 参与 网 上 交易 的 各 方 提供 安全 的 基 
础 ,建立 彼此 信任 的 机 制 。 

CFCA 在 建设 过 程 中 ,因为 技术 上 的 问题 ,使 得 正式 发 证 的 时 间 比 以 前 计划 的 时 间 大 大 
推迟 。 因 为 在 操作 上 证书 申请 的 方式 上 还 存在 一 些 问题 ,因此 发 放 的 证 书 不 多 。 

3. 国富 安 电子 商务 安全 认证 中 心 

国富 安 电子 商务 安全 认证 中 心 是 中 国 国际 电子 商务 中 心 ( 属 外 经 贸 部 ) 下 属 的 专业 从 
事 电 子 商 务 及 信息 安全 的 公司 。 根 据 国 家 “ 金 关 工程 ”网 络 发 展 的 需要 ,负责 建立 ,维护 管 
理 , 运 营 中 国 国际 电子 商务 安全 认证 中 心 , 并 向 社会 提供 数字 证 书 服务 。“ 商 业 电 子 信 息 安 
全 认证 系统 "已 于 1999 年 2 月 通过 国家 科技 部 和 国家 密码 管理 委员 会 的 技术 鉴定 。 

据 了 解 ,国富 安 电 子 商 务 安 全 认证 中 心 的 建立 借助 了 国外 公司 的 力量 完成 的 ,国富 安 电 
子 商 务 安全 认证 中 心 自 己 本 身 的 开发 力量 一 直 不 强 ,因此 ,在 它 的 电子 商务 证 书 基础 上 还 没 
有 较 多 的 成 功 应 用 ,国富 安 本 身 在 数字 证 书 的 基础 上 也 没有 完整 的 应 用 软件 。 外 经 贸 部 在 
网 上 的 电子 交易 很 多 ,但 是 ,其 认证 系统 也 没有 采用 国富 安 的 证 书 系统 。 因 此 其 发 证 量 一 直 
比较 少 。 

4. 上 海 市 电子 商务 安全 证 书 管理 中 心 (SHECA) 

上 海 市 电子 商务 安全 证 书 管理 中 心 由 上 海 市 电子 商务 安全 证 书 管理 中 心 有 限 公司 ( 简 
称 SHECA) 负 责 经 营 管理 。 上 海 市 电子 商务 安全 证 书 管理 中 心 属于 上 海 市 政府 。 

SHECA 在 上 海 市 政府 的 大 力 推广 之 下 ,目前 发 证 量 相对 来 说 比较 多 。 并 且 , 在 1999 
年 和 2000 年 ,SHECA 进行 了 一 些 比 较 成 功 的 推广 应 用 。 

比如 ,东方 航空 公司 网 上 安全 售票 系统 ; 上 海 热线 的 安全 电子 邮件 服务 ; 基于 SHECA 
认证 的 港澳 上 证 证 券 之 星 网 上 证 券 交 易 系 统 ; 上 海 银行 卡 网 络 服务 中 心 支付 网 关 ; 上 海 网 
上 化 工交 易 中 心 ; 基于 SHECA 安全 认证 的 企业 名 录 ; 并 且 在 上 海 市 政府 的 介入 下 ,要求 上 
海 的 各 家 银行 采用 SHECA 颁发 的 证 书 。 因 此 SHECA 在 上 海 得 到 了 比较 好 的 应 用 。 

另外 ,还 有 一 些 其 他 省 级 电子 商务 认证 中 心 ,如 北京 市 电子 商务 认证 中 心 .天 津 市 电子 
商务 认证 中 心 云南 省 电子 商务 认证 中 心 .山东 省 电子 商务 认证 中 心 ,湖南 省 电子 商务 认证 


中 心 湖北 省 电子 商务 认证 中 心 .广东 省 电子 商务 认证 中 心 .广西 电子 商务 认证 中 心 海南 省 
电子 商务 认证 中 心 .山西 省 电子 商务 认证 中 心 .吉林 省 电子 商务 认证 中 心 . 福 建 省 电子 商务 
认证 中 心 和 深圳 市 电子 商务 认证 中 心 等 。 另 外 ,我 国 还 有 其 他 一 些 省 市 和 企业 机 关 也 在 着 
手 建 立 自己 的 电子 商务 认证 中 心 ,特别 是 一 些 大 型 企业 和 事业 单位 ,也 使 用 CA 和 证 书 机 制 
来 对 企业 用 户 的 身份 和 权限 进行 认证 和 管理 。 

目前 ,我 国 的 CA 建设 还 处 于 一 个 起 步 的 阶段 ,没有 完整 的 统筹 和 协调 ,CA 的 发 展 还 
处 于 各 自 为 政 、 独 立 发 展 的 混乱 局 面 ,没有 建立 一 个 政策 上 固定 的 全 国 范围 的 根 CA( 如 美 
国 的 邮政 CA) ,这 对 处 于 权威 认证 机 构 的 CA 来 说 不 仅 是 基础 设施 的 浪费 ,也 对 电子 商务 中 
的 身份 认证 带 来 一 系列 问题 ,如 交叉 认证 的 互 不 兼容 等 。 相 信 经 过 若干 年 的 发 展 ,我 国 的 
CA 建设 在 积累 经 验 和 教训 的 基础 上 ,一 定 会 形成 一 个 全 国 性 的 ,完整 的 和 层次 性 合理 的 
CA 基础 设施 ,真正 为 我 国 的 电子 商务 发 展 保驾 护航 。 


课 后 习题 
选择 题 
1. 为 了 防御 网 络 监听 ,最 常用 的 方法 是 ( Xs 
A. 采用 物理 传输 ( 非 网 络 ) B. 信息 加 密 
C. 无 线 网 D. 使 用 专线 传输 
2. 下 列 环节 中 无 法 实现 信息 加 密 的 是 ( js 
A. 链 路 加 密 B. 上 传 加 密 C. 节点 加 密 D. 端 到 端 加 密 
3. 基于 公开 密 钥 密码 体制 的 信息 认证 方法 采用 的 算法 是 ( 和 
A. 素数 检测 B. 非 对 称 算法 C. RSA 算法 D. 对 称 加 密 算法 
4. RSA 算法 建立 的 理论 基础 是 ( 
A. DES B. 替代 相 组 合 
C. 大 数 分 解 和 素数 检测 D. 哈 希 函数 
5. 防止 他 人 对 传输 的 文件 进行 破坏 需要 ( js 
A. 数字 签字 及 验证 B. 对 文件 进行 加 密 
C. 身份 认证 D. 时 间 戳 
6. 下 面 的 机 构 如 果 都 是 认证 中 心 (CA), 你 认为 可 以 作为 资信 认证 的 是 ( 》 
A. 国家 工商 局 B. 著名 企业 C. 商务 部 D. 人 民 银 行 
7. PGP 都 随机 产生 一 个 ( ) 位 的 IDEA 会 话 密 钥 。 
A. 56 B. 64 全 i124 D. 128 
8. SHA 的 含义 是 ( )s 
A. 加 密 密 钥 B. 数字 水 印 C. 常用 的 哈 希 算法 D. 消息 摘要 
9. 保证 商业 服务 不 可 否认 的 手段 主要 是 ( 95 
A. 数字 水 印 B. 数据 加 密 C. 身份 认证 D. 数字 签名 
10. DES 加 密 算法 所 采用 的 密 钥 的 有 效 长 度 为 ( 国 
A. 32 B. 56 C. 64 
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1. 数字 证 书 不 包含 (  )。 

A. 证 书 的 申请 日 期 B. 颁发 证 书 的 单位 

C. 证 书 拥有 者 的 身份 D. 证 书 拥有 者 姓名 

2. 数字 签名 是 解决 ( 。””) 问 题 的 方法 。 

A. 未 经 授权 擅自 访问 网 络 B. 数据 被 泄 或 修改 

C. 冒名 发 送 数据 或 发 送 数据 后 抵赖 D. 以 上 三 种 

3. 在 互联 网 上 ,不 单纯 使 用 对 称 密 钥 加 密 技术 对 信息 进行 加 密 , 是 因为 ( )。 

A. 对 称 加 密 技术 落后 B. 加 密 技 术 不 成 熟 

C. 密 钥 难以 管理 D. 人 们 不 了 解 

4. DES 是 一 个 ( ””) 加 密 算法 标准 。 

A, 非 对 称 B. 对 称 CC: PGP D. SSL 

5. 利用 电子 商务 进行 网 上 交易 ,通过 ( ) 方 式 保证 信息 的 收发 各 方 都 有 足够 的 证 
据 证 明 操作 的 不 可 否认 性 。 

A. 数字 信封 B. 双方 信誉 C. 数字 签名 D. 数字 时 间 截 

填空 题 


1. 密码 学 的 目的 是 ( ya ya Ys 

2. 身份 认证 包含 ( ) 和 ( ) 两 个 过 程 。 

9. ) 及 验证 是 实现 信息 在 公开 网 络 上 的 安全 传输 的 重要 方法 ,该 方法 过 程 实际 上 
是 通过 ( ) 来 实现 的 。 

4. PKI/ 公 钥 是 提供 公 钥 加 密 和 数字 签字 服务 的 安全 基础 平台 ,目的 是 管理 ( ) 和 
站 

5. 一 个 典型 的 PKI 应 用 系统 包括 五 个 部 分 :( )、( ”) ,证 书签 发 子 系统 、 证 书 发 
布 子 系统 和 目录 服务 子 系统 。 

6. 密码 学 根据 其 研究 的 范围 可 分 为 ( ) 和 ( )s 

7 ) 是 最 为 人 们 所 熟悉 的 古典 加 密 方法 , 它 通常 将 秘密 消息 隐藏 于 其 他 消息 中 ， 
使 真正 的 秘密 通过 一 份 无 伤 大 雅 的 消息 发 送出 去 。 

8. 1977 年 ,美国 的 数据 加 密 标准 ( ) 公 布 。 

9. 密码 体制 分 为 ( ) 和 ( Ds 

10. 公 钥 密码 体制 的 算法 中 最 著名 的 代表 是 ( ) 系 统 。 

了 ) ,也 叫 信 息 标 记 算法 ,可 以 提供 数据 完整 性 方面 的 判断 依据 。 

12. ( ”) 是 一 个 向 个 人 、 计 算 机 或 任何 其 他 申请 实体 颁发 证 书 的 可 信和 实体 。 

简 答 题 
. 密码 学 的 发 展 大 致 可 以 分 为 几 个 阶段 ”各 阶段 的 特点 是 什么 ? 
. 密码 学 包含 哪些 概念 ? 有 什么 功能 ? 
. 简 述 对 称 加 密 算法 的 基本 原理 。 
. 简 述 非 对 称 加 密 算法 的 基本 原理 。 
. 公 钥 加 密 系统 可 提供 什么 功能 ? 
. PGP 软件 的 主要 功能 有 哪些 ? 
. 简 述 PGP 的 发 信和 与 收 信 过 程 。 


~] 中 上 co 性 


8. 软件 加 密 的 方法 有 哪些 ? 


9. 用 户 身份 认证 的 主要 目标 是 什么 ”基本 方式 有 哪些 ? 
10. 
I 
12. 
13. 
14. 
15; 
16. 


硬件 加 密 特点 有 哪些 ? 

简 述 数字 签名 的 原理 。 

数字 签名 主要 的 功能 有 哪些 ? 

数字 证 书 可 以 分 为 几 种 ? 各 自 的 用 途 是 什么 ? 
简 述 一 个 典型 的 PKI 应 用 系统 包括 的 几 个 部 分 。 
简 述 CA 认证 机 构 的 功能 。 

CA 系统 由 哪 几 部 分 组 成 ? 


从 码 靶 太 


地 上台 


5.1 病毒 的 基本 概念 


S.1.1 计算 机 病毒 的 定义 


计算 机 病毒 (computer virus) 在 《中华 人民 共和 国 计 算 机 信息 系统 安全 保护 条 例 ) 中 被 
明确 定义 ,病毒 “ 指 编 制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 破坏 数据 ,影响 计 
算 机 使 用 并 且 能 够 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 ”。 

病毒 往往 会 利用 计算 机 操作 系统 的 弱点 进行 传播 ,提高 系统 的 安全 性 是 防 病毒 的 一 个 
重要 方面 。 完 美的 系统 是 不 存在 的 ,过 于 强调 提高 系统 的 安全 性 将 使 系统 多 数 时 间 用 于 病 
毒 检查 ,系统 失去 了 可 用 性 、 实 用 性 和 易 用 性 ; 另 一 方面 ,信息 保密 的 要 求 让 人 们 在 泄密 和 
抓 住 病毒 之 间 无 法 选择 。 病 毒 与 反 病毒 将 作为 一 种 技术 对 抗 长 期 存在 ,两 种 技术 都 将 随 计 
算 机 技术 的 发 展 而 得 到 长 期 的 发 展 。 

病毒 不 是 来 源 于 突 发 或 偶然 的 原因 。 一 次 突 发 的 停电 和 偶然 的 错误 ,会 在 计算 机 的 磁 
盘 和 内 存 中 产生 一 些 乱码 和 随机 指令 ,但 这 些 代码 是 无 序 和 混乱 的 。 而 病毒 是 一 种 比较 完 
美的 ,精巧 严谨 的 代码 ,按照 严格 的 秩序 组 织 起 来 ,与 所 在 的 系统 网 络 环境 相 适 应 和 配合 起 
来 的 代码 。 病 毒 不 会 通过 偶然 形成 ,其 代码 本 身 需要 有 一 定 的 长 度 ,这 个 基本 的 长 度 从 概率 
上 来 讲 是 不 可 能 通过 随机 代码 产生 的 。 现 在 流行 的 病毒 是 由 人 为 故意 编写 的 ,多 数 病 毒 可 
以 找到 作者 和 产地 信息 ,从 大 量 的 统计 分 析 来 看 ,病毒 作者 的 主要 情况 和 目的 是 : 一 些 天 才 
的 程序 员 为 了 表现 自己 和 证 明 自 己 的 能 力 , 对 上 司 的 不 满 . 好奇. 报复 .为 了 祝贺 和 求爱 为 
了 得 到 控制 口令 ,为 了 软件 拿 不 到 报酬 而 预 留 的 陷阱 等 。 当 然 也 有 因 政治 、 军 事 、 宗 教 、 民 
族 、 专 利 等 方面 的 需求 而 专门 编写 的 ,其 中 也 包括 一 些 病毒 研究 机 构 和 黑客 的 测试 病毒 。 


5.1.2 计算 机 病毒 的 将 点 


计算 机 病毒 具有 以 下 几 个 特点 : 

(1) 寄生 性 。 计 算 机 病毒 寄生 在 其 他 程序 之 中 , 当 执 行 这 个 程序 时 ,病毒 就 起 破坏 作 
用 ,而 在 未 启动 这 个 程序 之 前 , 它 是 不 易 被 人 发 觉 的 。 

(2) 传染 性 。 计 算 机 病毒 不 但 本 身 具有 破坏 性 ,更 有 害 的 是 具有 传染 性 ,一 旦 病毒 被 复 
制 或 产生 变种 ,其 速度 之 快 令 人 难以 预防 。 传 染 性 是 病毒 的 基本 特征 。 在 生物 界 ,病毒 通过 
传染 从 一 个 生物 体 扩散 到 另 一 个 生物 体 。 在 适当 的 条 件 下 , 它 可 得 到 大 量 繁殖 ,并 使 被 感染 
的 生物 体 表现 出 病症 甚至 死亡 。 同 样 ,计算 机 病毒 也 会 通过 各 种 渠道 从 已 被 感染 的 计算 机 
扩散 到 未 被 感染 的 计算 机 ,在 某 些 情况 下 造成 被 感染 的 计算 机 工作 失常 甚至 瘫痪 。 与 生物 


病毒 不 同 的 是 ,计算 机 病毒 是 一 段 人 为 编制 的 计算 机 程序 代码 ,这 有 段 程序 代码 一 旦 进入 计算 
机 并 得 以 执行 , 它 就 会 搜寻 其 他 符合 其 传染 条 件 的 程序 或 存储 介质 ,确定 目标 后 再 将 自身 代 
码 插入 其 中 ,达到 自我 繁殖 的 目的 。 只 要 一 台 计 算 机 染 毒 ,如 不 及 时 处 理 , 那 么 病毒 会 在 这 
台 机 器 上 迅速 扩散 ,其 中 的 大 量 文件 (一 般 是 可 执行 文件 ) 会 被 感染 。 而 被 感染 的 文件 又 成 
了 新 的 传染 源 , 再 与 其 他 机 器 进行 数据 交换 或 通过 网 络 接触 ,病毒 会 继续 进行 传染 。 正 常 的 
计算 机 程序 一 般 是 不 会 将 自身 的 代码 强行 连接 到 其 他 程序 之 上 的 。 而 病毒 却 能 使 自身 的 代 
码 强行 传染 到 一 切 符合 其 传染 条 件 的 未 受到 传染 的 程序 之 上 。 计 算 机 病毒 可 通过 各 种 可 能 
的 渠道 ,如 软盘 .计算 机 网 络 去 传染 其 他 计算 机 。 当 在 一 台 机 器 上 发 现 了 病毒 时 ,往往 曾 在 
台 计 算 机 上 用 过 的 软盘 已 感染 上 了 病毒 ,而 与 这 台 机 器 相 联网 的 其 他 计算 机 也 许 也 被 该 

病毒 感染 上 了 。 是 否 具 有 传染 性 是 判别 一 个 程序 是 否 为 计算 机 病毒 的 最 重要 条 件 。 病 毒 程 
序 通过 修改 磁盘 扇 区 信息 或 文件 内 容 并 把 自身 嵌入 到 其 中 的 方法 达到 病毒 的 传染 和 扩散 。 
被 蔡 入 的 程序 叫做 宿主 程序 。 

(3) 潜伏 性 。 有 些 病毒 像 定 时 炸弹 一 样 ,让 它 什 么 时 间 发 作 是 预先 设计 好 的 。 比 如 黑 
色 星 期 五 病毒 ,不 到 预定 时 间 一 点 都 觉察 不 出 来 ,等 到 条 件 具 备 的 时 候 一 下 子 就 爆炸 开 来 ， 
对 系统 进行 破坏 。 一 个 编制 精巧 的 计算 机 病毒 程序 ,进入 系统 之 后 一 般 不 会 马上 发 作 , 可 以 
在 几 周 或 者 几 个 月 内 甚至 几 年 内 隐藏 在 合法 文件 中 ,对 其 他 系统 进行 传染 ,而 不 被 人 发 现 ， 
潜伏 性 越 好 ,其 在 系统 中 的 存在 时 间 就 会 越 长 ,病毒 的 传染 范围 就 会 越 大 。 潜 伏 性 的 第 一 种 
表现 是 指 , 病 毒 程序 不 用 专用 检测 程序 是 检查 不 出 来 的 ,因此 病毒 可 以 静 静 地 向 在 磁盘 或 磁 
带 里 待 上 几 天 ,甚至 几 年 ,一 旦 时 机 成 熟 ,得 到 运行 机 会 ,就 又 要 四 处 繁殖 ,扩散 ,继续 为 害 。 
潜伏 性 的 第 二 种 表现 是 指 ,计算 机 病毒 的 内 部 往往 有 一 种 触发 机 制 , 不 满足 触发 条 件 时 , 计 
算 机 病毒 除了 传染 外 不 做 什么 破坏 。 触 发 条 件 一 旦 得 到 满足 ,有 的 在 屏幕 上 显示 信息 、 图 形 
或 特殊 标识 ,有 的 则 执行 破坏 系统 的 操作 ,如 格式 化 磁盘 、 删 除 磁盘 文件 、 对 数据 文件 做 加 
密 、 封 锁 键盘 以 及 使 系统 死 锁 等 。 

(4) 隐蔽 性 。 计 算 机 病毒 具有 很 强 的 隐蔽 性 ,有 的 可 以 通过 病毒 软件 检查 出 来 ,有 的 根 
本 就 查 不 出 来 ,有 的 时 隐 时 现 、 变 化 无 常 ,这 类 病毒 处 理 起 来 通常 很 困难 。 

(5) 破坏 性 。 计 算 机 中 毒 后 ,可 能 会 导致 正常 的 程序 无 法 运行 ,计算 机 内 的 文件 被 删除 
或 受到 不 同 程度 的 损坏 。 

(6) 可 和 触发 性 。 因 某 个 事件 或 数值 的 出 现 , 诱 使 病毒 实施 感染 或 进行 攻击 的 特性 称 为 
可 触发 性 。 为 了 隐蔽 自己 ,病毒 必须 潜伏 , 少 做 动作 。 如 果 完 全 不 动 , 一 直 潜 伏 的 话 ,病毒 既 
不 能 感染 也 不 能 进行 破坏 , 便 失 去 了 杀伤 力 。 病 毒 既 要 隐蔽 又 要 维持 杀伤 力 , 它 必 须 具 有 可 
触发 性 。 病 毒 的 触发 机 制 就 是 用 来 控制 感染 和 破坏 动作 的 频率 的 。 病 毒 具 有 预定 的 触发 条 
件 , 这 些 条 件 可 能 是 时 间 .日 期 .文件 类 型 或 某 些 特定 数据 等 。 病 毒 运行 时 ,触发 机 制 检查 预 
定 条 件 是 否 满足 ,如 果 满 足 , 启 动感 染 或 破坏 动作 ,使 病毒 进行 感染 或 攻击 ; 如 果 不 满足 ,使 
病毒 继续 潜伏 。 


5.1.3 计算 机 病毒 的 分 类 


根据 多 年 对 计算 机 病毒 的 研究 ,按照 科学 的 、 系 统 的 、 严 密 的 方法 ,根据 计算 机 病毒 属性 
进行 如 下 分 类 
(1) 根据 病毒 存在 的 媒体 进行 分 类 ,病毒 可 以 划分 为 网 络 病毒 文件 病毒 .引导 型 病毒 。 


涯 毒 技术 
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网 络 安 会 与 管理 


@ 网 络 病毒 通过 计算 机 网 络 传播 感染 网 络 中 的 可 执行 文件 。 

@ 文件 病毒 感染 计算 机 中 的 文件 (如 COM、EXE、DOC 等 ) 。 

@ 引导 型 病毒 感染 启动 扇 区 (Boot) 和 硬盘 的 系统 引导 扇 区 (MBR)。 

还 有 这 三 种 情况 的 混合 型 ,例如 ,多 型 病毒 (文件 和 引导 型 ) 感 染 文件 和 引导 扇 区 两 种 目 
标 ,这 样 的 病毒 通常 都 具有 复杂 的 算法 ,它们 使 用 非常 规 的 办 法 侵入 系统 ,同时 使 用 了 加 密 
和 变形 算法 。 

(2) 按照 计算 机 病毒 传染 的 方法 进行 分 类 ,根据 病毒 传染 的 方法 可 分 为 驻 留 型 病毒 和 
非 驻 留 型 病毒 。 

Q@ 驻 留 型 病毒 感染 计算 机 后 .把 自身 的 内 存 驻 留 部 分 放 在 内 存 (RAM) 中 ,这 一 部 分 程 
序 挂 接 系统 调用 并 合并 到 操作 系统 中 去 , 它 处 于 激活 状态 ,一 直到 关机 或 重新 启动 。 

@ 非 驻 留 型 病毒 在 得 到 机 会 激活 时 并 不 感染 计算 机 内 存 ,另外 一 些 病毒 在 内 存 中 留 有 
小 部 分 ,但 是 并 不 通过 这 一 部 分 进行 传染 ,这 类 病毒 也 被 划 归 为 非 驻 留 型 病毒 。 

(3) 根据 病毒 破坏 的 能 力 可 划分 为 以 下 几 种 ， 

@ 无 害 型 。 除 了 传染 时 减少 磁盘 的 可 用 空间 外 ,对 系统 没有 其 他 影响 。 

@ 无 危险 型 。 这 类 病毒 仅仅 是 减少 内 存 、. 显 示 图 像 .发 出 声音 及 同类 音响 。 

@ 危险 型 。 这 类 病毒 在 计算 机 系统 操作 中 造成 严重 的 错误 。 

@ 非常 危险 型 。 这 类 病毒 删除 程序 、 破 坏 数据 、 清 除 系统 内 存 区 和 操作 系统 中 重要 的 
信息 。 
这 些 病毒 对 系统 造成 的 危害 ,并 不 是 本 身 的 算法 中 存在 危险 的 调用 ,而 是 当 它 们 传染 时 
会 引起 无 法 预料 的 和 灾难 性 的 破坏 。 由 病毒 引起 其 他 程序 产生 的 错误 也 会 破坏 文件 和 扇 
区 ,这 些 病毒 也 按照 它们 引起 的 破坏 能 力 划 分 。 一 些 现 在 的 无 害 型 病毒 也 可 能 会 对 新 版 的 
DOS、Windows 和 其 他 操作 系统 造成 破坏 。 例 如 ,在 早期 的 病毒 中 ,有 一 个 Denzuk 病毒 在 
360KB 磁盘 上 很 好 地 工作 ,不 会 造成 任何 破坏 ,但 是 在 后 来 的 高 密度 软盘 上 却 能 引起 大 量 
的 数据 丢失 。 

(4) 根据 病毒 特有 的 算法 ,病毒 可 以 划分 为 : 

@ 伴随 型 病毒 。 这 一 类 病毒 并 不 改变 文件 本 身 , 它 们 根据 算法 产生 EXE 文件 的 伴随 体 ， 
具有 同样 的 名 字 和 不 同 的 扩展 名 (COMD) ,例如 ,XCOPY. EXE 的 伴随 体 是 XCOPY. COM。 病 
毒 把 自身 写 人 COM 文件 并 不 改变 EXE 文件 , 当 DOS 加 载 文件 时 ,伴随 体 优 先 被 执行 到 ， 
再 由 伴随 体 加 载 执行 原来 的 EXE 文件 。 

四 “蠕虫 "型 病毒 。 通 过 计算 机 网 络 传播 ,不 改变 文件 和 资料 信息 ,利用 网 络 从 一 台 机 
器 的 内 存 传播 到 其 他 机 器 的 内 存 ,计算 网 络 地 址 ,将 自身 的 病毒 通过 网 络 发 送 。 有 时 它们 在 
系统 存在 ,一般 除了 内 存 不 占用 其 他 资源 。 

@ 寄生 型 病毒 。 除 了 伴随 型 和 “蠕虫 "型 ,其 他 病毒 均 可 称 为 寄生 型 病毒 ,它们 依附 在 
系统 的 引导 扇 区 或 文件 中 ,通过 系统 的 功能 进行 传播 。 

@ 诡秘 型 病毒 。 它 们 一 般 不 直接 修改 DOS 中 断 和 扇 区 数据 ,而 是 通过 设备 技术 和 文 
件 缓冲 区 等 DOS 内 部 修改 ,不易 看 到 资源 ,使 用 比较 高 级 的 技术 。 利 用 DOS 空闲 的 数据 区 
进行 工作 。 

@ 变型 病毒 (又 称 幽 灵 病 毒 ) 。 这 一 类 病毒 使 用 一 个 复杂 的 算法 ,使 自己 每 传播 一 份 都 
具有 不 同 的 内 容 和 长 度 。 它 们 一 般 是 由 一 段 混 有 无 关 指令 的 解码 算法 和 被 变化 过 的 病毒 体 


组 成 。 
5.1.4 计算 机 病毒 的 发 展 史 


在 病毒 的 发 展 史上 ,病毒 的 出 现 是 有 规律 的 ,一 般 情况 下 一 种 新 的 病毒 技术 出 现 后 , 病 
毒 迅 速 发 展 , 接 着 反 病 毒 技 术 的 发 展会 抑制 其 流传 。 操 作 系统 升级 后 ,病毒 也 会 调整 为 新 的 
方式 ,产生 新 的 病毒 技术 。 它 可 划分 为 : 

(1) DOS 引导 阶段 。1987 年 ,计算 机 病毒 主要 是 引导 型 病毒 ,具有 代表 性 的 是 “小 球 ” 
和 “石头 ”病毒 。 当 时 的 计算 机 硬件 较 少 ,功能 简单 ,一 般 需 要 通过 软盘 启动 后 使 用 。 引 导 型 
病毒 利用 软盘 的 启动 原理 工作 ,它们 修改 系统 启动 扇 区 ,在 计算 机 启动 时 首先 取得 控制 权 ， 
减少 系统 内 存 , 修 改 磁盘 读 写 中 断 ,影响 系统 工作 效率 ,在 系统 存 取 磁盘 时 进行 传播 ; 1989 年 ， 
引导 型 病毒 发 展 为 可 以 感染 硬盘 ,典型 的 代表 有 “石头 2”。 

(2) DOS 可 执行 阶段 。1989 年 ,可 执行 文件 型 病毒 出 现 , 它 们 利用 DOS 系统 加 载 执行 
文件 的 机 制 工作 ,代表 为 “耶路撒冷 "“ 星 期 天 ”病毒 ,病毒 代码 在 系统 执行 文件 时 取得 控制 
权 , 修 改 DOS 中 断 ,在 系统 调用 时 进行 传染 ,并 将 自己 附加 在 可 执行 文件 中 ,使 文件 长 度 增 
加 。1990 年 ,发 展 为 复合 型 病毒 ,可 感染 COM 和 EXE 文件 。 

(3) 伴随 、 批 次 型 阶段 。1992 年 ,伴随 型 病毒 出 现 , 它 们 利用 DOS 加 载 文件 的 优先 顺序 
进行 工作 ,具有 代表 性 的 是 “ 金 蝉 ?病毒 , 它 感 染 EXE 文件 时 生成 一 个 和 EXE 同名 但 扩展 名 
为 COM 的 伴随 体 ; 它 感染 文件 时 ,修改 原来 的 COM 文件 为 同名 的 EXE 文件 ,再 产生 一 个 
原名 的 伴随 体 ,文件 扩展 名 为 COM ,这 样 , 在 DOS 加 载 文件 时 ,病毒 就 取得 控制 权 。 这 类 病 
毒 的 特点 是 不 改变 原来 的 文件 内 容 .日 期 及 属性 ,解除 病毒 时 只 要 将 其 伴随 体 删 除 即 可 。 在 
非 DOS 操作 系统 中 ,一 些 伴随 型 病毒 利用 操作 系统 的 描述 语言 进行 工作 ,典型 代表 是 “海盗 
旗 ? 病 毒 , 它 在 得 到 执行 时 ,询问 用 户 名 称 和 口令 ,然后 返回 一 个 出 错 信 息 ,将 自身 删除 。 批 
次 型 病毒 是 工作 在 DOS 下 的 和 "海盗 旗 ?病毒 类 似 的 一 类 病毒 。 

(4) 幽灵 、 多 形 阶段 。1994 年 , 随 着 汇编 语言 的 发 展 ,实现 同一 功能 可 以 用 不 同 的 方式 
进行 完成 ,这 些 方式 的 组 合 使 一 段 看 似 随 机 的 代码 产生 相同 的 运算 结果 。 幽 灵 病 毒 就 是 利 
用 这 个 特点 ,每 感染 一 次 就 产生 不 同 的 代码 。 例 如 “一 半 ” 病 毒 就 是 产生 一 段 有 上 亿 种 可 能 
的 解码 运算 程序 ,病毒 体 被 隐藏 在 解码 前 的 数据 中 , 查 解 这 类 病毒 就 必须 能 对 这 段 数据 进行 
解码 ,加 大 了 查 毒 的 难度 。 多 形 型 病毒 是 一 种 综合 性 病毒 , 它 既 能 感染 引导 区 又 能 感染 程序 
区 ,多 数 具有 解码 算法 ,一 种 病毒 往往 要 两 段 以 上 的 子 程序 方 能 解除 。 

(5) 生成 器 、 变 体 机 阶段 。1995 年 ,在 汇编 语言 中 ,一 些 数 据 的 运算 放 在 不 同 的 通用 寄 
存 器 中 ,可 运算 出 同样 的 结果 ,随机 插入 一 些 空 操 作 和 无 关 指令 ,也 不 影响 运算 的 结果 ,这 
样 ,一 段 解码 算法 就 可 以 由 生成 器 生成 , 当 生 成 器 的 生成 结果 为 病毒 时 ,就 产生 了 这 种 复杂 
的 “病毒 生成 器 ”, 而 变 体 机 就 是 增加 解码 复杂 程度 的 指令 生成 机 制 。 这 一 阶段 的 典型 代表 
是 “病毒 制造 机 ”VCL, 它 可 以 在 瞬间 制造 出 成 千 上 万 种 不 同 的 病毒 , 查 解 时 就 不 能 使 用 传 
统 的 特征 识别 法 ,需要 在 宏观 上 分 析 指 令 ,解码 后 查 解 病毒 。 

(6) 网 络 .蠕虫 阶段 。1995 年 , 随 着 网 络 的 普及 ,病毒 开始 利用 网 络 进行 传播 ,它们 只 
是 以 上 几 代 病毒 的 改进 。 在 非 DOS 操作 系统 中 ,“ 蠕 虫 " 是 典型 的 代表 , 它 不 占用 除 内 存 以 
外 的 任何 资源 ,不 修改 磁盘 文件 ,利用 网 络 功 能 搜索 网 络 地 址 ,将 自身 向 下 一 地 址 进行 传播 ， 
有 时 也 在 网 络 服务 器 和 启动 文件 中 存在 。 
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(7) 视窗 阶段 。1996 年 , 随 着 Windows 的 日 益 普及 ,利用 Windows 进行 工作 的 病毒 
始 发 展 ,它们 修改 (NE、PE) 文 件 格式 的 文件 ,典型 的 代表 是 DS. 3873 ,这 类 病毒 的 机 制 更 为 
复杂 ,它们 利用 保护 模式 和 API 调用 接口 工作 ,解除 方法 也 比较 复杂 。 

(8) 宏 病 毒 阶段 。1996 年 , 随 着 Windows Word 功能 的 增强 ,使 用 Word 宏 语 言 也 可 以 
编制 病毒 ,这 种 病毒 使 用 类 Basic 语言 .编写 容易 、 感 染 Word 文档 等 文件 ,在 Excel 和 
AmiPro 出 现 的 相同 工作 机 制 的 病毒 也 归 为 此 类 ,由 于 Word 文档 格式 没有 公开 ,这 类 病毒 
查 解 比较 困难 。 

(9) 互联 网 阶段 。1997 年 , 随 着 因特网 的 发 展 ,各 种 病毒 也 开始 利用 因特网 进行 传播 ， 
一 些 携带 病毒 的 数据 包 和 邮件 越 来 越 多 ,如 果 不 小 心 打 开 了 这 些 邮 件 , 机 器 就 有 可 能 中 毒 。 
1997 年 , 随 着 Java 的 普及 ,利用 Java 语言 进行 传播 和 资料 获取 的 病毒 开始 出 现 ,典型 的 代 
表 是 JavaSnake 病毒 ,还 有 一 些 利用 邮件 服务 器 进行 传播 和 破坏 的 病毒 ,例如 Mail-Bomb 病 
毒 , 它 会 严重 影响 因特网 的 效率 。 


5.1.5 其 他 破坏 行为 


计算 机 病毒 的 破坏 行为 体现 了 病毒 的 杀伤 能 力 。 病 毒 破坏 行为 的 激烈 程度 取决 于 病毒 
作者 的 主观 愿望 和 他 所 具有 的 技术 能 量 。 数 以 万 计 不 断 发 展 扩张 的 病毒 ,其 破坏 行为 千 奇 
百 怪 ,不 可 能 穷 举 其 破坏 行为 ,而 且 难 以 做 全 面 的 描述 ,根据 现 有 的 病毒 资料 可 以 把 病毒 的 
破坏 目标 和 攻击 部 位 归纳 如 下 。 

(1) 攻击 系统 数据 区 ,攻击 部 位 包括 硬盘 主 引导 扇 区 .Boot 扇 区 .FAT 表 文件 目录 等 。 
一 般 来 说 ,攻击 系统 数据 区 的 病毒 是 恶性 病毒 , 受 损 的 数据 不 易 恢复 。 

(2) 攻击 文件 ,病毒 对 文件 的 攻击 方式 很 多 ,可 列举 如 下 : 删除 ,改名 ,替换 内 容 、 丢 失 
部 分 程序 代码 、 内 容 颠 倒 、 写 入 时 间 空 白 、 变 碎片 ,假冒 文件 .丢失 文件 簇 、 丢 失 数 据 文件 等 。 

(3) 攻击 内 存 , 内 存 是 计算 机 的 重要 资源 ,也 是 病毒 攻击 的 主要 目标 之 一 ,病毒 额外 地 
占用 和 消耗 系统 的 内 存 资源 ,可 以 导致 一 些 较 大 的 程序 难以 运行 。 病 毒 攻击 内 存 的 方式 如 
下 : 占用 大 量 内 存 改变 内 存 总 量 .禁止 分 配 内 存 、 蚕 食 内 存 等 。 

(4) 干扰 系统 运行 ,此 类 型 病毒 会 干扰 系统 的 正常 运行 ,以 此 作为 自己 的 破坏 行为 ,此 
类 行为 也 是 花样 繁多 ,可 以 列举 下 述 诸 方式 : 不 执行 命令 .干扰 内 部 命令 的 执行 .虚假 报警 、 
使 文件 打 不 开 、 使 内 部 栈 溢出 .占用 特殊 数据 区 .时钟 倒 转 、 重 启动 .死机 、 强 制 游戏 .扰乱 串 
行 口 ,并行 口 等 。 

(5) 速度 下 降 , 病 毒 激活 时 ,其 内 部 的 时 间 延 迟 程序 启动 ,在 时 钟 中 纳入 了 时 间 的 循环 
计数 ,迫使 计算 机 空转 ,计算 机 速度 明显 下 降 。 攻 击 磁盘 ,攻击 磁盘 数据 ,不 写 盘 、 写 操作 变 
读 操作 、 写 盘 时 丢 字 节 等 。 

(6) 扰乱 屏幕 显示 ,例如 字符 跌落 、 环 绕 、 倒 置 . 显 示 前 一 屏 、 光 标 下 跌 滚屏、 抖动 . 乱 
写 . 吃 字符 等 。 

(7) 键盘 病毒 ,干扰 键盘 操作 ,已 发 现 有 下 述 方式 : 响 铃 .封锁 键盘 、 换 字 、 抹 掉 缓存 区 
字符 ,重复 .输入 紊乱 等 。 

(8) 喇叭 病毒 ,许多 病毒 运行 时 ,会 使 计算 机 的 喇叭 发 出 响声 。 有 的 病毒 作者 通过 喇叭 
发 出 种 种 声音 ,有 的 病毒 作者 让 病毒 演奏 旋律 优美 的 世界 名 曲 ,在 高 雅 的 曲调 中 去 杀 有 玖 人 们 
的 信息 财富 ,已 发 现 的 喇叭 发 声 有 以 下 方式 : 演奏 曲子 、 警 第 声 、 炸 弹 噪声 、 鸣 叫 、 味 味 声 \ 滴 


答 声 等 。 

(9) 攻击 CMOS ,在 机 器 的 CMOS 区 中 ,保存 着 系统 的 重要 数据 ,例如 系统 时 钟 、 磁 盘 
类 型 .内存 容量 等 。 有 的 病毒 激活 时 ,能 够 对 CMOS 区 进行 写 人 动作 ,破坏 系统 CMOS 中 
的 数据 。 


5.1.6 计算 机 病毒 的 危害 性 


计算 机 资源 的 损失 和 破坏 ,不 但 会 造成 资源 和 财富 的 巨大 浪费 ,而 且 有 可 能 造成 社会 性 
的 灾难 , 随 着 信息 化 社会 的 发 展 , 计 算 机 病毒 的 威胁 日 益 严重 , 反 病 毒 的 任务 也 更 加 艰巨 了 。 
1988 年 11 月 2 日 下 午 5 时 1 分 59 秒 ,美国 康 奈 尔 大 学 的 计算 机 科学 系 研究 生 ,23 岁 的 莫 
里 斯 (Morris) 将 其 编写 的 蠕虫 程序 输入 计算 机 网 络 ,致使 这 个 拥有 数 万 台 计 算 机 的 网 络 被 
堵塞 。 这 件 事 就 像 是 计算 机 界 的 一 次 大 地 震 , 引 起 了 巨大 反响 ,震惊 全 世界 ,引起 了 人 们 对 
计算 机 病毒 的 恐慌 ,也 使 更 多 的 计算 机 专家 重视 和 致力 于 计算 机 病毒 的 研究 。1988 年 下 半 
年 ,我 国 在 统计 局 系统 首次 发 现 了 “小 球 ” 病 毒 , 它 对 统计 系统 影响 极 大 ,此 后 由 计算 机 病毒 
发 作 而 引起 的 “病毒 事件 ”接连 不 断 ,后 来 发 现 的 CIH、 美 丽 莎 冲击波、 震荡 波 等 病毒 更 是 
给 社会 造成 了 很 大 损失 。 

2000 年 5 月 爆发 的 “ 爱 虫 " 病 毒 及 其 以 后 出 现 的 50 来 个 变种 病毒 让 计算 机 信息 界 付出 
了 很 大 代价 , 共 感 染 了 4000 多 万 台 计 算 机 ,造成 大 约 87 亿美 元 的 经 济 损失 。1999 年 共 出 
现 了 两 种 代价 超过 10 亿美 元 的 “昂贵 "病毒 一 一 “爱丽 莎 "病毒 和 “探测 者 ”病毒 ,它们 分 别 造 
成 了 12 亿 和 10 亿美 元 的 经 济 损失 。2001 年 7 月 “红色 代码 ”病毒 爆发 后 ,在 短 短 9 个 小 时 内 
感染 了 超过 25 万 台 计 算 机 系统 ,引起 了 各 国政 府 官员 和 计算 机 安全 人 员 的 高 度 恐 慌 。 

2004 年 严重 肆虐 全 球 个 人 计算 机 的 知名 病毒 “杀手 ”(Sasser) 和 “天 网 ”(Netsky), 均 导 
致 高 达 百 万 部 计算 机 中 毒 ,财务 损失 和 修复 成 本 分 别 高 达 35 亿美 元 、27. 5 亿美 元 。“ 末 日 ” 
(MyDoom) 对 微软 和 SCO Group 公司 网 站 发 动 攻击 ,蔓延 迅速 ,估计 财务 损失 高 达 52. 5 亿 
美元 ,相当 可 观 。 

计算 机 病毒 不 仅 对 计算 机 产生 影响 ,而 且 对 人 也 会 产生 一 定 影响 。 当 然 计算 机 病毒 是 
不 会 与 人 交叉 感染 的 ,那么 它 是 怎样 对 人 产生 影响 的 呢 ? 其 实 很 简单 , 它 是 通过 控制 屏幕 的 
输出 来 对 人 的 心理 进行 影响 。 有 些 按 破坏 能 力 分 类 归 为 “无 害 ” 的 病毒 ,虽然 不 会 损坏 数据 ， 
但 在 发 作 时 并 不 只 是 播放 一 段 音乐 这 样 简单 。 有 些 病毒 会 进行 反动 宣传 ,有 些 病毒 会 显示 
一 些 对 人 身心 健康 不 利 的 文字 或 图 像 。 在 2000 年 底 , 人 们 发 现 了 一 个 通过 电子 邮件 传播 的 
病毒 一 一 女 鬼 ?病毒 。 当 你 打开 感染 了 * 女 鬼 ? 病 毒 的 邮件 的 附件 时 ,病毒 发 作 ,在 屏幕 上 显 
示 一 个 美食 家 杀害 妻子 的 恐怖 故事 。 之 后 ,一 切 恢复 正常 。 一 般 人 会 以 为 这 个 病毒 的 发 作 
只 是 这 样 而 已 。 但 是 ,5 分 钟 后 ,突然 屏幕 变 黑 ,一 个 忍 怖 的 女尸 的 图 像 就 会 显示 出 来 ,让 没 
有 丝毫 心理 准备 的 人 吓 一 跳 。 据 报道 ,有 人 因此 突 发 心脏 病 身 亡 。 所 以 ,计算 机 病毒 的 这 个 
危害 也 是 不 可 小 视 的 。 


5.2 网 络 病 毒 


网 络 病毒 通过 计算 机 网 络 传播 感染 网 络 中 的 可 执行 文件 (如 COM、EXE、DOC 等 ) ,网 
络 病毒 主要 进行 游戏 等 账号 的 瓷 取 工作 ,远程 操控 ,或 把 受 控 者 的 计算 机 当 作 肉 鸡 使 用 。 
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具有 开放 性 的 互联 网 成 为 计算 机 病毒 广泛 传播 的 有 利 环境 ,而 互联 网 本 身 的 安全 漏洞 
为 培育 新 一 代 病 毒 提供 了 绝 佳 的 条 件 。 人 们 为 了 让 网 页 更 加 精彩 漂亮 ,功能 更 加 强大 而 
发 出 Active X 技术 和 Java 技术 ,然而 病毒 程序 的 制造 者 也 利用 同样 的 渠道 ,把 病毒 程序 由 
网 络 渗透 到 个 人 计算 机 中 。 这 就 是 近 几 年 崛起 的 第 二 代 病 毒 , 即 所 谓 的 “网 络 病毒 "。 可 以 
说 :“ 网 络 : 病毒 的 天 堂 ”。 

2000 年 出 现 的 “罗密欧 与 朱丽叶 ”病毒 是 一 个 典型 的 网 络 病毒 , 它 改 写 了 病毒 的 历史 。 
在 当时 ,人 们 还 以 为 病毒 技术 的 发 展 速度 不 会 太 快 ,然而 “罗密欧 与 朱丽叶 ”病毒 彻底 击 碎 了 
人 们 的 侥幸 心理 。“ 罗 密 欧 与 朱丽叶 ?病毒 具有 邮件 病毒 的 所 有 特性 ,但 它 不 再 藏身 于 电子 
邮件 的 附件 中 ,而 是 直接 存在 于 邮件 正文 中 ,一 旦 计算 机 用 户 用 Outlook 打开 邮件 进行 阅 
读 , 病 毒 就 会 立即 发 作 , 并 将 复制 出 的 新 病毒 通过 邮件 发 送 给 其 他 人 ,计算 机 用 户 几乎 无 法 
躲避 。 

网 络 病毒 的 出 现 似乎 拓展 了 病毒 制造 者 们 的 思路 ,在 随后 的 时 间 里 ,千奇百怪 的 网 络 病 
毒 孕 育 而 生 。 这 些 病毒 具有 更 强 的 繁殖 能 力 和 破坏 能 力 ,它们 不 再 局 限于 电子 邮件 之 中 ,而 
是 直接 外 人 Web 服务 器 的 网 页 代码 中 , 当 计 算 机 用 户 浏览 了 带 有 病毒 的 网 页 之 后 ,系统 就 
会 被 感染 ,随即 崩溃 。 当 然 , 这 些 病毒 也 不 会 放 过 自己 寄生 的 服务 器 ,在 适当 的 时 候 病毒 会 
与 服务 器 系统 同归于尽 。 

公安 部 国家 计算 机 病毒 应 急 处 理 中 心 .计算 机 病毒 防治 产品 检验 中 心 联 合 发 布 了 (2008 年 
我 国信 息 网 络 安全 状况 暨 计 算 机 病毒 疫情 调查 报告 》。 调 查 结果 显示 ,我 国信 息 网 络 安全 事 
件 发 生 比例 继 前 3 年 连续 增长 后 ,2008 年 略 有 下 降 ,信息 网 络 安全 事件 发 生 比 例 为 62.7%， 
比 2007 年 下 降 了 3%; 计算 机 病毒 感染 率 也 出 现下 降 ,为 85. 5%, 比 2007 年 减少 了 6%。 
奥运 期 间 ,全国 互 联网 安全 状况 基本 平稳 ,未 出 现 重 大 网 络 安全 事件 。 

近年 来 病毒 功能 越 来 越 强 大 ,不 仅 拥 有 蠕虫 病毒 的 传播 速度 和 破坏 能 力 , 还 具有 木马 的 
控制 计算 机 和 盗窃 重要 信息 的 功能 。2000 年 以 来 ,病毒 制作 者 为 了 获得 经 济 利益 ,纷纷 
始 制作 各 类 木马 ,一 时 间 网 上 木马 横行 。 

2006 年 “熊猫 烧香 ”这 一 复合 型 病毒 的 出 现 , 改 变 了 病毒 制作 者 的 想法 。 利 用 蠕虫 的 
传播 能 力 和 多 种 传播 渠道 ,可 以 更 快 更 多 地 帮助 木马 传播 ,从 而 抽取 更 大 的 非法 经 济 效 
益 。 因 此 ,“ 能 猫 烧香 ”病毒 在 几 个 月 的 时 间 里 感染 了 大 量 机 器 ,给 被 感染 的 用 户 带 来 重 
大 损失 。 

据悉 ,通过 对 2007 年 十 大 病毒 的 统计 ,结果 显示 2006 年 十 大 病毒 的 一 半 还 在 2007 年 十 
大 病毒 的 列表 中 ,并 且 “ 木 马 代理 ” 继 2006 年 之 后 ,再 度 成 为 2007 年 的 最 流行 病毒 。2007 年 十 
大 病毒 排行 榜 分 别 为 : 木马 代理 、 网 游 大 咨 . 艾 妮 、 能 猫 烧 香 、 梅 勒 斯 、 德 美 `. 灰 合子 .Small 及 
其 变种 .QQ 木马 ,传奇 木马 。2008 年 十 大 病毒 排行 榜 分 别 为 : 网 游 大 盗 、AutoRun、]JS. Agent、 
Delf( 德 芙 ) .AV 终结 者 、 灰 例子 ,Small 及 其 变种 JS. RealPlr、JS. Psyme、HTML. Iframe。 

自 2001 年 开始 病毒 疫情 调查 工作 以 来 .没有 出 现 过 同一 种 病毒 连续 两 年 成 为 十 大 病毒 
榜首 的 情况 ,而 2006 年 到 2008 年 的 数据 中 木马 代理 、 网 游 大 次 连续 出 现 , 这 也 表明 木马 具 
有 强大 的 生存 能 力 。 十 大 病毒 中 与 资 取 密码 有 关 的 病毒 还 有 “网 游 大 盗 *"“ 艾 妮 "“ 熊 猫 烧 
香 ”“ 梅 勒 斯 >“QQ 木马 ”和 “传奇 木马 ”“ 灰 蚀 子 ”, 它 们 都 具有 和 窃取 用 户 的 游戏 账号 和 密 
码 的 功能 。 


5.2.1 木马 病毒 的 概 伪 


特洛伊 木马 (简称 木马 ) ,英文 叫做 Trojan horse, 其 名 称 取 自 希腊 神话 的 特洛伊 木马 
记 。 故 事 说 的 是 希腊 人 围攻 特洛伊 城 十 年 后 仍 不 能 得 手 , 于 是 阿 迦 门 农 受 雅 典 娜 的 启发 : 
把 士兵 藏匿 于 巨大 无 比 的 木马 中 ,然后 伴 作 退 兵 。 当 特洛伊 人 将 木马 作为 战利品 拖 人 城内 
时 ,高 大 的 木马 正好 卡 在 城 门 间 ,进退 两 难 。 夜 晚 木 马 内 的 士兵 疏 出 来 ,与 城 外 的 部 队 里 应 
外 合 而 攻 下 了 特洛伊 城 。 计 算 机 世界 的 特洛伊 木马 是 指 隐藏 在 正常 程序 中 的 一 段 具 有 特殊 
功能 的 恶意 代码 ,是 具备 破坏 和 删除 文件 ,发送 密码 .记录 键盘 和 DoS 攻击 等 特殊 功能 的 后 
门 程序 。 它 是 一 种 基于 远程 控制 的 黑客 工具 ,具有 隐蔽 性 和 非 授权 性 的 特点 。 

所 谓 隐 项 性 是 指 木马 的 设计 者 为 了 防止 木马 被 发 现 , 会 采用 多 种 手段 隐藏 木马, 这样 服 
务 端 即 使 发 现 感染 了 木马 ,由 于 不 能 确定 其 具体 位 置 , 往 往 只 能 望 * 马 ?兴叹 。 

所 谓 非 授 权 性 是 指 一 旦 控制 端 与 服务 端 连 接 后 ,控制 端 将 享有 服务 端的 大 部 分 操作 权 
限 , 包 括 修改 文件 ,修改 注册 表 ,控制 鼠标 .键盘 等 ,而 这 些 权力 并 不 是 服务 端 赋予 的 ,而 是 通 
过 木马 程序 窃取 的 。 

木马 和 病毒 都 是 一 种 人 为 的 程序 ,都 属于 计算 机 病毒 ,为 什么 木马 要 单独 提出 来 说 ? 大 
家 都 知道 以 前 的 计算 机 病毒 的 作用 ,其 实 完全 就 是 为 了 搞 破坏 ,破坏 计算 机 里 的 资料 数据 ， 
除了 破坏 之 外 有 些 病毒 制造 者 为 了 达到 某 些 目的 而 进行 的 威慑 或 敲诈 勒索 ,或 为 了 炫耀 自 
己 的 技术 。 木 马 不 一 样 ,木马 的 作用 是 赤裸 裸 地 偷偷 监视 别人 和 资 窃 别人 密码 .数据 等 。 如 
盗窃 管理 员 密码 . 子 网 密码 摘 破 坏 ,或 者 好 玩 , 偷 窃 上 网 密码 用 于 他 用 ,游戏 账号 .股票 账号 、 
网 上 银行 账户 等 。 达 到 偷窥 别人 隐私 和 得 到 经 济 利益 的 目的 。 所 以 木马 比 早期 的 计算 机 病 
毒 更 加 有 害 。 更 能 够 直接 达到 使 用 者 的 目的 ,导致 许多 别有用心 的 程序 开发 者 大 量 地 编写 
这 类 带 有 偷窃 和 监视 别人 计算 机 的 侵入 性 程序 ,这 就 是 目前 网 上 大 量 木马 泛滥 成 灾 的 原因 。 
鉴于 木马 的 这 些 巨大 危害 性 和 它 与 早期 病毒 的 作用 性 质 不 一 样 , 因 此 木马 虽然 属于 病毒 中 
的 一 类 ,但 是 要 单独 地 从 病毒 类 型 中 间 剥 离 出 来 ,特别 地 称 之 为 “木马 ?程序 。 

木马 的 发 展 可 以 分 为 以 下 几 个 阶段 。 

1. 第 一 代 木 马 : 伪装 型 病毒 

这 种 病毒 通过 伪装 成 一 个 合法 性 程序 诱骗 用 户 上 当 。 世 界 上 第 一 个 计算 机 木马 是 出 现 
在 1986 年 的 PC-Write 木马 。 它 伪装 成 共享 软件 PC-Write 的 2. 72 版 本 (事实 上 ,编写 
PC-Write 的 Quicksoft 公司 从 未 发 行 过 2. 72 版 本 ) ,一 旦 用 户 信以为真 运行 该 木马 程序 , 那 
么 他 的 下 场 就 是 硬盘 被 格式 化 。 有 人 用 BASIC 作 了 一 个 登录 界面 木马 程序 , 当 用 户 把 他 的 
用 户 ID .密码 输入 一 个 和 正常 的 登录 界面 一 模 一 样 的 伪 登 录 界 面 后 ,木马 程序 一 面 保存 用 
户 的 ID 和 密码 ,一 面 提示 用 户 密码 错误 让 用 户 重 新 输入 , 当 用 户 第 二 次 登录 时 ,就 已 成 了 木 
马 的 牺牲 品 。 此 时 的 第 一 代 木 马 还 不 具备 传染 特征 。 

2. 第 二 代 木 马 : AIDS 型 木马 

继 PC-Write 之 后 ,1989 年 出 现 了 AIDS 木马 。 由 于 当时 很 少 有 人 使 用 电子 邮件 ,所 以 
AIDS 的 作者 就 利用 现实 生活 中 的 邮件 进行 散播 : 给 其 他 人 寄 去 一 封 封 含有 木马 程序 软盘 
的 邮件 。 之 所 以 叫 这 个 名 称 是 因为 软盘 中 包含 有 AIDS 和 HIV 疾病 的 药品 、 价 格 以 及 预防 
措施 等 相关 信息 。 软 盘 中 的 木马 程序 在 运行 后 ,虽然 不 会 破坏 数据 ,但 是 它 将 硬盘 加 密 锁 
死 , 然 后 提示 受 感染 用 户 花 钱 消 灾 。 可 以 说 第 二 代 木 马 已 具备 了 传播 特征 (尽管 通过 传统 的 
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邮递 方式 ) 。 

3. 第 三 代 木 马 : 网 络 传播 性 木马 

随 着 Internet 的 普及 ,这 一 代 木 马 兼 备 伪装 和 传播 两 种 特征 并 结合 TCP/IP 网 络 技术 
四 处 泛滥 。 同 时 它 还 添加 了 新 的 特征 “后 门 ?功能 。 所 谓 后 门 就 是 一 种 可 以 为 计算 机 系统 秘 
密 开启 访问 入 口 的 程序 。 一 旦 被 安装 ,这 些 程序 就 能 够 使 攻击 者 绕 过 安全 程序 进入 系统 。 
该 功能 的 目的 就 是 收集 系统 中 的 重要 信息 .例如 ,财务 报告 .口令 及 信用 卡号 。 此 外 ,攻击 者 
还 可 以 利用 后 门 控制 系统 ,使 之 成 为 攻击 其 他 计算 机 的 帮凶 。 由 于 后 门 是 隐藏 在 系统 背后 
运行 的 ,因此 很 难 被 检测 到 。 它 们 不 像 病 毒 和 蠕虫 那样 通过 消耗 内 存 而 引起 注意 。 图 5.1 
为 QQ 软件 中 木马 病毒 时 的 现象 。 


ee 祝 你 千 好 万 好 事 事 好 ， 月 加 情 回信 团 
送 一 块 特约 电子 月 讲 给 你 品 会 ， 下 载 后 运行 ， 输 

Noa 由 昵称 " 久 伺 你 的 猪头 "后 即 可 进入 ， 状 后 茂 可 

看 到 我 给 你 的 留言 了， 快 快 最 尝 美 味 的 电子 月 讲 吧 


点 击 下 面 链接 下 载 电子 月 饼 : 


和 | 轩 民 -多 | 元 


[如 天 记录 由 | 光电 简 区 中， [关闭 | -发 尖 G) 呈 
图 5.1 QQ 软件 中 木马 病毒 时 的 现象 


添加 了 击 键 记录 功能 。 从 名 称 上 就 可 以 知道 ,该 功能 主要 是 记录 用 户 所 有 的 击 键 内 容 
然后 形成 击 键 记 录 的 日 志文 件 发 送 给 恶意 用 户 。 恶 意 用 户 可 以 从 中 找到 用 户 名 口令 以 及 
信用 卡号 等 用 户 信息 。 这 一 代 木 马 比较 有 名 的 有 国外 的 BO2000 和 国内 的 冰河 木马 。 它 们 
有 如 下 共同 特点 : 基于 网 络 的 客户 端 /服务 器 应 用 程序 ,具有 搜集 信息 、 执 行 系统 命令 .重新 
设置 机 器 .重新 定向 等 功能 。 当 木马 程序 攻击 得 手 后 ,计算 机 就 完全 成 为 黑客 控制 的 盆 偶 主 
机 ,黑客 成 了 超级 用 户 , 用 户 的 所 有 计算 机 操作 不 但 没有 任何 秘密 而 言 ,而 且 黑 客 可 以 远程 
控制 便 偶 主机 对 别 的 主机 发 动 攻击 ,这 时 候 被 俘获 的 倪 偶 主机 成 了 黑客 进行 进一步 攻击 的 
挡 箭牌 和 跳板 。 

虽然 木马 程序 手段 越 来 越 隐 项 ,但 是 苍蝇 不 叮 无 颖 的 蛋 , 只 要 加 强 个 人 安全 防范 意识 ， 
还 是 可 以 大 大 降低 “中 招 ” 的 几率 。 对 此 有 如 下 建议 : 安装 个 人 防 病毒 软件 .个 人 防火 墙 软 
件 ; 及 时 安装 系统 补丁 ; 对 不 明 来 历 的 电子 邮件 和 插件 不 予 理 皮 ; 经 常 去 安全 网 站 转 一 转 ， 
以 便 及 时 了 解 一 些 新 木马 的 底细 ,做 到 知己 知 彼 , 百 战 不 列 。 


5.2.2 木马 病毒 案例 


1.“ 顶 狐 ” 木 马 病毒 网 上 银行 盗窃 案 
2007 年 12 月 16 日 “3.5” 特 大 网 上 银行 盗窃 案 的 8 名 主要 犯罪 嫌疑 人 全 部 落 入 法 网 。 
8 名 疑犯 在 网 上 以 虚拟 身份 联系 ,纠集 成 伙 , 虽 不 明 彼 此 身份 . 却 配 合 密切 ,分 工 明 确 , 有 人 


制作 木马 病毒 有 人 负责 收集 信息 、 有 人 提现 有 人 收 赃 , 在 不 到 一 年 时 间 里 窍 得 人 民 币 300 
余万元 。 其 中 , 徐 伟 冲 提供 信息 ,金星 通过 网 上 购买 游戏 点 卡 ,转手 倒 卖 给 湖南 长 沙 的 “ 宝 
宝 ”。 因 信息 太 多 , 忙 不 过 来 ,金星 又 在 网 上 将 信息 倒卖 给 “小 胖 ”, 徐 小 兵 ,“ 小 胖 ” 徐 小 兵 再 
转卖 他 人 提现 。 陆 瑛 娜 则 不 停 地 在 网 上 购 游 戏 点 卡 , 她 到 外 地 制作 了 两 张 假 身份 证 ,在 数 家 
银行 开 了 账户 , 忙 着 到 苏州 .昆山 .常州 等 周边 地 区 银行 去 取 赃 款 …… 

2008 年 4 月 11 日 ,无 锡 市 滨 湖 区 法 院 对 一 起 公安 部 挂牌 督办 的 重大 网 络 犯罪 案件 作 
出 了 一 审判 决 ,被 告 人 金星 、 徐 伟 冲 、 陆 瑛 娜 、 获 永 强 、 徐 小 兵 、 方 少 宏 等 因 构 成 信用 卡 诈骗 
罪 和 资 窃 罪 ,分 别 被 判处 十 四 年 至 三 年 不 等 的 有 期 徒刑 。 

2. 利用 DNS 劫持 攻击 大 型 网 站 恶性 攻击 事件 

2007 年 11 月 3 日 ,部 分 用 户 在 访问 腾讯 迷你 首页 网 站 (http://minisite. qq. com/) 时 ， 
会 被 恶意 代码 感染 ,系统 会 自动 从 恶意 网 站 上 下 载 并 运行 恶意 程序 。 由 于 该 站 点 为 QQ 软 
件 启动 时 默认 自动 弹出 ,具有 极 高 的 访问 量 ,攻击 者 采用 的 攻击 方法 是 支持 DNS 解析 过 程 ， 
算 改 腾讯 迷你 首页 的 DNS 记录 。 

非法 劫持 腾讯 “迷你 网 ?主页 域名 传播 17 种 32 个 计算 机 木马 病毒 ,使 全 国 数 百 万 网 民 
在 访问 “迷你 网 ”主页 , 玩 传奇 .魔兽 等 网 络 游戏 时 ,游戏 账号 和 密码 被 秘密 发 送 到 木马 程序 
设置 的 远程 接收 服务 器 上 ,该 团伙 迅速 盗 取 账号 和 密码 ,在 网 上 销赃 套现 ,销赃 所 得 按 “ 贡 
献 ” 大 小 分 成 。 不 到 两 个 月 时 间 , 涉 案 人 员 资 窃 数 十 万 网 上 用 户 的 游戏 账号 和 密码 ,非法 获 
利 40 余万元 。 腾 讯 “ 迷 你 网 ” 因 停 止 服务 ,造成 直接 损失 20 余万元 。 

2007 年 11 月 19 日 ,无 锡 市 公安 局 网 警 支队 接 报 : 当月 5 日 至 19 日 期 间 , 全 国 部 分 地 
区 的 互联 网 用 户 在 访问 深圳 市 腾讯 计算 机 系统 有 限 公司 迷你 网 主页 时 ,被 错误 指向 到 位 于 
无 锡 市 的 病毒 服务 器 ,造成 上 百 万 网 民 的 计算 机 受 病 毒 感染 ,腾讯 公司 被 迫 停止 网 站 服务 ， 
造成 重大 经 济 损失 。 警 方 立即 开展 侦查 ,于 同年 12 月 ,分 别 在 四 川 成 都 .江苏 张家港 .黑龙 
江东 宁 等 地 抓获 6 名 犯罪 嫌疑 人 。 江 苏 省 公安 厅 信 息 网 络 安全 监察 部 门 在 犯罪 嫌疑 人 使 用 
的 计算 机 硬盘 中 发 现 了 用 于 攻击 网 站 的 破坏 性 程序 。 经 审查 ,2007 年 9 月 底 至 11 月 中 旬 ， 
这 一 团伙 在 成 都 市 使 用 编译 好 的 劫持 程序 对 上 海 .重庆 ,扬州 等 10 余 个 城市 共计 27 台 域 名 
服务 器 实施 攻击 劫持 , 借 机 盗 取 网 络 游戏 账号 。 

法 院 审理 认为 ,6 名 被 告 违 反 国家 规定 ,对 计算 机 信息 系统 功能 进行 干扰 ,造成 计算 机 
信息 系统 不 能 正常 运行 ,后 果 严 重 , 均 已 构成 破坏 计算 机 信息 系统 罪 。 马 志 松 等 6 名 被 告 分 
别 被 江苏 无 锡 滨 湖区 法 院 一 审判 处 四 年 至 一 年 不 等 有 期 徒刑 。 


5.2.3 蠕虫 病毒 的 概念 


蠕虫 病毒 是 一 种 常见 的 计算 机 病毒 。 它 的 传染 机 理 是 利用 网 络 进行 复制 和 传播 ,传染 
途径 是 通过 网 络 ,电子 邮件 以 及 优盘 、 移 动 硬盘 等 移动 存储 设备 。 比 如 2006 年 底 的 “熊猫 烧 
香 " 病 毒 就 是 蠕虫 病毒 的 一 种 。 蠕 虫 程序 主要 利用 系统 漏洞 进行 传播 。 它 通过 网 络 .电子 邮 
件 和 其 他 传播 方式 , 像 生物 蠕虫 一 样 从 一 台 计 算 机 传染 到 另 一 台 计算 机 。 因 为 蠕虫 使 用 多 
种 方式 进行 传播 ,所 以 蠕虫 程序 的 传播 速度 是 非常 大 的 。 

蠕虫 侵入 一 台 计 算 机 后 ,首先 获取 其 他 计算 机 的 IP 地 址 ,然后 将 自身 副本 发 送 给 这 些 
计算 机 。 蠕 虫 病毒 也 使 用 存储 在 染 毒 计算 机 上 的 邮件 客户 端 地 址 德里 的 地 址 来 传播 程序 。 
虽然 有 的 蠕虫 程序 也 在 被 感染 的 计算 机 中 生成 文件 ,但 一 般 情况 下 ,蠕虫 程序 只 占用 内 存 资 
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源 而 不 占用 其 他 资源 。 

蠕虫 也 是 一 种 病毒 ,因此 具有 病毒 的 共同 特征 。 一 般 的 病毒 是 需要 寄生 的 , 它 可 以 通过 
自己 指令 的 执行 ,将 自己 的 指令 代码 写 到 其 他 程序 的 体内 ,而 被 感染 的 文件 被 称 为 “宿主 ”。 
例如 ,Windows 下 可 执行 文件 的 格式 为 PE 格式 ,需要 感染 PE 文件 时 ,首先 在 宿主 程序 中 ， 
然后 建立 一 个 新 段 ,将 病毒 代码 写 到 新 段 中 ,修改 程序 入 口 点 等 ,这 样 ,宿主 程序 执行 的 时 
候 , 就 可 以 先 执行 病毒 程序 ,病毒 程序 运行 完 之 后 ,再 把 控制 权 交 给 宿主 原来 的 程序 指令 。 
可 见 ,病毒 主要 是 感染 文件 ,当然 也 还 有 像 DIRII 这 种 链接 型 病毒 ,还 有 引导 区 病毒 。 引 
导 区 病毒 是 感染 磁盘 的 引导 区 ,如 果 是 软盘 、U 盘 ( 闪 存盘 ) .移动 硬盘 等 被 感染 ,其 受 感 
染 的 盘 在 其 他 机 器 上 使 用 后 ,同样 也 会 感染 其 他 机 器 ,所 以 传播 方式 也 可 以 是 移动 存储 
设备 。 

蠕虫 一 般 不 采取 利用 PE 格式 插入 文件 的 方法 ,而 是 复制 自身 在 互联 网 环境 下 进行 传 
播 , 病 毒 的 传染 能 力主 要 是 针对 计算 机 内 的 文件 系统 而 言 ,而 蠕虫 病毒 的 传染 目标 是 互联 网 
内 的 所 有 计算 机 。 局 域 网 条 件 下 的 共享 文件 夹 .电子 邮件 、 网 络 中 的 恶意 网 页 .大量 存 在 着 
漏洞 的 服务 器 等 都 成 为 蠕虫 传播 的 良好 途径 。 网 络 的 发 展 也 使 得 蠕虫 病毒 可 以 在 几 个 小 时 
内 蔓延 全 球 ,而 且 蠕 虫 的 主动 攻击 性 和 突然 爆发 性 将 使 得 人 们 手足 无 措 。 

蠕虫 病毒 由 两 部 分 组 成 : 一 个 主 程序 和 一 个 引导 程序 。 主 程序 一 旦 在 机 器 上 建立 就 会 
去 收集 与 当前 机 器 联网 的 其 他 机 器 的 信息 。 它 能 通过 读 取 公 共 配 置 文件 并 运行 显示 当前 网 
上 联机 状态 信息 的 系统 实用 程序 而 做 到 这 一 点 。 随 后 , 它 尝试 利用 前 面 所 描述 的 那些 缺陷 
在 这 些 远程 机 器 上 建立 其 引导 程序 。 

蠕虫 病毒 程序 常 驻 于 一 台 或 多 台 机 器 中 ,并 有 自动 重新 定位 的 能 力 。 如 果 它 检测 到 网 
络 中 的 某 台 机 器 未 被 占用 , 它 就 把 自身 的 一 个 复制 (一 个 程序 段 ) 发 送 给 那 台 机 器 。 每 个 程 
序 段 都 能 把 自身 的 复制 重新 定位 于 另 一 台 机 器 中 ,并 且 能 识别 它 占 用 的 那 台 机 器 。 

蠕虫 的 行为 特征 主要 包括 : 主动 攻击 、 行 踪 隐蔽 、 利 用 系统 和 网 络 应 用 服务 漏洞 .造成 
网 络 拥塞 .降低 系统 性 能 .产生 安全 隐患 、 反 复 性 、 破 坏 性 等 。 

1. 蠕虫 技术 发 展 的 几 个 趋势 

(1) 与 病毒 技术 的 结合 ,一 些 病毒 编写 者 很 早 就 提出 过 这 样 的 思路 ,现在 已 经 变 成 了 现 
实 。 越 来 越 多 的 蠕虫 开始 结合 病毒 技术 ,在 攻击 计算 机 系统 之 后 ,继续 攻击 文件 系统 ,从 而 
导致 传播 机 制 的 多 样 化 。 

(2) 动态 功能 升级 技术 ,提出 动态 调整 蠕虫 程序 的 思路 顺理成章 ,这 样 的 蠕虫 可 以 升级 
上 文 提 到 的 功能 模型 中 的 除 控制 模块 外 的 所 有 功能 模块 ,从 而 获得 更 强 的 生存 能 力 和 攻击 
能 力 。 

(3) 通信 技术 ,蠕虫 之 间 、 编 写 者 与 蠕虫 之 间 传递 信息 和 指令 的 功能 将 成 为 未 来 蠕虫 编 
写 的 重点 技术 。 

(4) 隐身 技术 ,操作 系统 内 核 一 级 的 黑客 攻防 技术 将 会 进一步 纳入 到 蠕虫 的 功能 中 来 
隐藏 晴 虫 的 踪迹 。 

(5) 巨型 蠕虫 ,蠕虫 程序 包含 多 操作 系统 的 运行 程序 版 本 ,包含 丰富 的 漏洞 库 , 从 而 具 
有 更 强大 的 传染 能 力 。 

(6) 分 布 式 蠕虫 ,数据 部 分 同 运行 代码 分 布 在 不 同 的 计算 机 之 间 ,运行 代码 在 攻击 时 
从 数据 存放 地 获取 攻击 信息 。 同 时 ,攻击 代码 利用 一 些 算法 在 多 台 计算 机 上 寻找 、 复 制 数据 


的 存放 地 。 不 同 功能 模块 分 布 在 不 同 的 计算 机 之 间 ,协调 工作 ,产生 更 强 的 隐蔽 性 和 攻击 
能 力 。 

2. 蠕虫 发 作 的 几 种 情况 

(1) 利用 操作 系统 和 应 用 程序 的 漏洞 主动 进行 攻击 ,此 类 病毒 主要 是 “红色 代码 ”*”“ 尼 
姆 亚 ”“ 求 职 信 ” 等 。 由 于 I 浏览 器 的 漏洞 ,使 得 感染 了 “ 尼 姆 亚 ” 病 毒 的 邮件 在 不 去 手工 打 
开 附 件 的 情况 下 病毒 就 能 激活 ,而 此 前 即便 是 很 多 防 病毒 专家 也 一 直 认 为 , 带 有 病毒 附件 的 
邮件 ,只 要 不 去 打开 附件 ,病毒 不 会 有 和 危害。“ 红 色 代 码 ” 利 用 微软 IIS 服务 器 软件 的 漏洞 
(idq. dll 远程 缓存 区 溢出 ) 来 传播 ,SQL 蠕虫 王 病毒 则 利用 微软 的 数据 库 系 统 的 一 个 漏洞 进 
行 大 肆 攻 击 。 

(2) 传播 方式 多 样 ,如 “ 尼 姆 亚 ” 和 “求职 信 ” 病 毒 ,可 利用 的 传播 途径 包括 文件 .电子 邮 
件 、Web 服务 器 、 网 络 共享 等 。 

(3) 新 的 制作 技术 ,与 传统 的 病毒 不 同 的 是 ,许多 新 病毒 是 利用 当前 最 新 的 编程 语言 与 
编程 技术 实现 的 ,易于 修改 以 产生 新 的 变种 ,从 而 逃避 反 病 毒 软 件 的 搜索 。 另 外 ,新 病毒 利 
用 Java、ActiveX、VB Script 等 技术 ,可 以 潜伏 在 HTML 页 面 里 ,在 上 网 浏览 时 触发 。 

(4) 与 黑客 技术 相 结 合 , 潜 在 的 威胁 和 损失 更 大 ,以 红色 代码 为 例 ,感染 后 的 机 器 的 
Web 目录 的 \scripts 下 将 生成 一 个 root. exe, 可 以 远程 执行 任何 命令 ,从 而 使 黑客 能 够 再 次 
进入 。 

蠕虫 和 普通 病毒 不 同 的 一 个 特征 是 蠕虫 病毒 往往 能 够 利用 缺陷 , 即 软件 上 的 缺陷 和 人 
为 的 缺陷 。 软 件 上 的 缺陷 ,如 远程 溢出 、 微 软 IE 和 Outlook 的 自动 执行 漏洞 等 ,需要 软件 厂 
商 和 用 户 共同 配合 ,不 断 地 升级 软件 。 而 人 为 的 缺陷 ,主要 指 的 是 计算 机 用 户 的 牙 忽 。 这 就 
是 所 谓 的 社会 工程 学 , 当 收 到 一 封 带 着 病毒 的 求职 信和 邮件 时 候 , 大 多 数 人 都 会 抱 着 好 奇 的 心 
理 去 点 击 。 对 于 企业 用 户 来 说 ,威胁 主要 集中 在 服务 器 和 大 型 应 用 软件 的 安全 上 ,而 对 个 人 
用 户 而 言 ,主要 是 防范 第 二 种 缺陷 。 

3. 个 人 用 户 对 蠕虫 病毒 的 防范 措施 

通过 上 述 的 分 析 和 介绍 ,我 们 可 以 知道 ,病毒 并 不 是 非常 可 怕 的 ,网 络 蠕 虫 病毒 对 个 人 
用 户 的 攻击 主要 还 是 通过 社会 工程 学 ,而 不 是 利用 系统 漏洞 ,所 以 防范 此 类 病毒 需要 注意 以 
下 几 点 ， 

(1) 选 购 合适 的 杀毒 软件 ,网 络 蠕虫 病毒 的 发 展 已 经 使 传统 的 杀毒 软件 的 “文件 级 实时 
监控 系统 ”落伍 ,杀毒 软件 必须 向 内 存 实时 监控 和 邮件 实时 监控 发 展 。 另 外 , 面 对 防 不 胜 防 
的 网 页 病毒 ,也 使 得 用 户 对 杀毒 软件 的 要 求 越 来 越 高 。 

(2) 经 常 升级 病毒 库 ,杀毒 软件 对 病毒 的 查 杀 是 以 病毒 的 特征 码 为 依据 的 ,而 病毒 每 天 
都 层出不穷 ,尤其 是 在 网 络 时 代 , 蠕 虫 病毒 的 传播 速度 快 . 变 种 多 ,所 以 必须 随时 更 新 病毒 
库 , 以 便 能 够 查 杀 最 新 的 病毒 。 

(3) 提高 防 杀 毒 意识 。 不 要 轻易 去 点 击 陌生 的 站 点 .有 可 能 里 面 就 含有 恶意 代码 。 当 
运行 下 时 ,选择 “工具 ”>“Internet 选项 ”>“ 安 全 ”>“Internet 区 域 的 安全 级 别 ? 命 令 ,把 安 
全 级 别 由 “中 ” 改 为 “高 "。 因 为 这 一 类 网 页 主要 是 含有 恶意 代码 的 ActiveX 或 Applet、 
JavaScript 的 网 页 文件 ,所 以 在 IE 设置 中 将 ActiveX 插件 和 控件 ,Java 脚本 等 全 部 禁止 ,就 
可 以 大 大 减少 被 网 页 恶意 代码 感染 的 几率 。 具 体操 作 是 在 IE 窗口 中 单 击 “ 工 具 ” 一 
“Internet 选项 ”>“ 安 全 ”>“Internet 自 定义 级 别 ” 按 钮 ,如 图 5.2 所 示 。 就 会 弹出 “安全 设 
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置 "对 话 框 ,把 其 中 所 有 ActiveX 插件 和 控件 以 及 与 Java 相关 的 全 部 选项 选择 * 禁 用 ”。 但 
是 ,这 样 做 在 以 后 的 网 页 浏览 过 程 中 有 可 能 会 使 一 些 正常 应 用 ActiveX 的 网 站 无 法 浏览 。 

(4) 不 随意 查看 陌生 邮件 ,尤其 是 带 有 附件 的 
邮件 。 由 于 有 的 病毒 邮件 能 够 利用 IE 和 Outlook 
的 漏洞 自动 执行 ,所 以 计算 机 用 户 需要 升级 IE 和 
Outlook 程序 ,以 及 其 他 常用 的 应 用 程序 。 @ 号 J SO : 

(5) 打 好 相应 的 系统 补丁 ,可 以 应 用 瑞星 杀毒 | | PE i 
软件 的 “漏洞 扫描 ”或 360 安全 卫士 等 工具 ,这 些 款 @ Ni i 
工具 可 以 引导 用 户 打 好 补丁 并 进行 相应 的 安全 设 


该 区 域 的 安全 阁 别 LL) 


置 ,彻底 杜绝 病毒 的 感染 。 eo 9 

(6) 警惕 聊天 软件 发 来 的 信息 ,从 2004 年 起 ， -es i 
MSN .QQ 等 聊天 软件 开始 成 为 蠕虫 病毒 传播 的 
途径 之 一 。“ 性 感 烤 鸡 "病毒 就 通过 MSN 软件 传 EE 
播 ,在 很 短 时 间 内 席卷 全 球 , 一 度 造成 中 国内 地 部 
分 网 络 运行 异常 。 对 于 普通 用 户 来 讲 , 防 范 聊天 里 二 
虫 的 主要 措施 之 一 ,就 是 提高 安全 防范 意识 ,对 于 et 


通过 聊天 软件 发 送 的 任何 文件 和 信息 ,都 要 经 过 好 
友 确 认 后 青 运 行 , 不 要 随意 点 击 聊 天 软件 发 送 的 网 络 链接 。 


5.2.4 蠕虫 病毒 案例 


1.“ 熊 猫 烧 香 " 病 毒 

“熊猫 烧香 ”是 一 个 由 Delphi 工具 编写 的 蠕虫 ,终止 大 量 的 反 病 毒 软 件 和 防火 墙 软件 进 
程 。 病 毒 会 删除 扩展 名 为 gho 的 文件 ,使 用 户 无 法 使 用 ghost 软件 恢复 操作 系统 “熊猫 烧 
香 " 感 染 系统 的 . exe、. com、. pif、. src、. html、. asp 文件 ,添加 病毒 网 址 ,导致 用 户 一 打开 这 
些 网 页 文件 ,IE 就 会 自动 连接 到 指定 的 病毒 网 址 中 下 载 病毒 。 在 硬盘 各 个 分 区 下 生成 文件 
autorun. inf 和 setup. exe, 可 以 通过 U 盘 和 移动 硬盘 等 方式 进行 传播 ,并 且 利 用 Windows 
系统 的 自动 播放 功能 来 运行 ,搜索 硬盘 中 的 . exe 可 执行 文件 并 感染 ,感染 后 的 文件 图 标 变 
成 “熊猫 烧香 "图案 ,感染 “熊猫 烧香 "病毒 时 的 现象 如 图 5. 3 所 示 。"“ 能 猫 烧 香 ”" 还 可 以 通过 
共享 文件 夹 .系统 弱 口 令 等 多 种 方式 进行 传播 。 

据 瑞 星 反 病毒 专家 介绍 ,“ 熊 猫 烧香 ”其 实 是 “ 尼 姆 亚 ” 病 毒 的 新 变种 ,最 早出 现在 2006 
年 的 11 月 ,由 于 它 一 直 在 不 停 地 进行 变种 ,而且 该 病毒 会 将 中 毒 计算 机 中 所 有 的 网 页 文件 
尾部 添加 病毒 代码 ,因此 ,一 旦 一 些 网 站 编辑 人 员 的 计算 机 被 该 病毒 感染 ,网 站 编辑 在 上 传 
网 页 到 网 站 后 ,就 会 导致 所 有 浏览 该 网 页 的 计算 机 用 户 也 被 感染 上 该 病毒 。 

同时 ,金山 毒霸 反 病毒 中 心 表 示 ,“ 熊 猫 烧 香 ”" 除 了 通过 网 站 带 毒 感染 用 户 之 外 ,此 病毒 
还 会 通过 QQ 最 新 漏洞 传播 ,通过 网 络 文 件 共享 默认 共享 、 系 统 弱 口令 、U 盘 及 移动 硬盘 
等 多 种 途径 传播 。 而 局 域 网 中 只 要 有 一 台 机 器 感染 ,就 可 以 瞬间 传 遍 整 个 网 络 , 甚 至 在 极 短 
时 间 之 内 就 可 以 感染 几 千 台 计 算 机 ,严重 时 可 以 导致 网 络 瘫痪 。 中 毒 症状 表现 为 计算 机 中 
所 有 可 执行 的 . exe 文件 都 变 成 了 一 种 怪异 的 图 案 , 该 图 案 显 示 为 “熊猫 烧香 ”, 继 而 系统 蓝 
屏 、 频 繁重 启 ,硬盘 数据 被 破坏 等 ,严重 的 整个 公司 局 域 网 内 所 有 计算 机 全 部 中 毒 。 
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图 5.3 感染 “熊猫 烧香 "病毒 的 现象 


对 此 , 江 民 反 病毒 专家 分 析 认 为 : 导致 病毒 快速 传播 目前 存在 三 大 原因 : 一 是 大 量 的 
企业 用 户 使 用 国外 杀毒 软件 ,而 国外 杀毒 软件 对 于 此 类 国产 病毒 响应 速度 特别 慢 。 二 是 由 
于 被 种 植 "熊猫 烧香 ”病毒 网 站 的 点 击 量 的 全 球 排名 均 在 前 300 名 之 列 , 而 当 一 部 分 网 站 编 
辑 本 身 机 器 感染 了 病毒 之 后 , 当 他 们 把 受 感染 文件 上 传 到 服务 器 后 ,访问 者 点 击 此 类 受 感染 
网 页 即 中 毒 ,因此 ,该 病毒 才 会 得 以 迅速 传播 。 三 是 其 病毒 具有 极 强 的 变种 能 力 , 仅 从 2006 
年 11 月 至 年 底 短 短 一 个 多 月 的 时 间 ,该 病毒 就 变种 将 近 30 余 次 ,因此 在 许多 用 户 政 于 防范 
而 没有 更 新 杀毒 软件 时 ,该 病毒 即 可 借 机 迅速 传播 。 

预防 “熊猫 烧香 "这 类 病毒 的 措施 : 

(1) 立即 检查 本 机 administrator 组 成 员 口 令 ,一定 要 放弃 简单 口令 甚至 空 口令 ,安全 的 
口令 是 字母 数字 特殊 字符 的 组 合 ,自己 记得 住 , 别 让 病毒 猜 到 就 行 。 

修改 方法 : 右键 单 击 “ 我 的 计算 机 ”, 选 择 “ 管 理 ”, 浏 览 到 “本 地 用 户 和 组 ”, 在 右边 的 窗 
格 中 ,选择 具备 管理 员 权 限 的 用 户 名 , 单 击 右键 ,选择 “设置 密码 ”, 输 入 新 密码 即 可 ,如 图 5. 4 
所 示 。 

(2) 利用 组 策略 ,关闭 所 有 驱动 器 的 自动 播放 功能 。 

修改 方法 : 选择 “开始 ”>“ 运 行 " 命 令 , 输 入 gpedit. msc, 打 开 组 策略 编辑 器 ,浏览 到 * 计 
算 机 配置 ”管理 模板 ”~ 系统”, 在 右边 的 窗 格 中 选择 关闭 自动 播放 ,该 配置 默认 是 未 配 
置 ,在 下 拉 列 表 框 中 选择 “所 有 驱动 器 ”, 再 选取 * 已 启用 ”, 确 定 后 关闭 。 最 后 ,选择 “开始 ”一 
“运行 ”命令 ,输入 gpupdate, 确 定 后 ,该 策略 就 生效 了 。 

(3) 修改 文件 夹 选项 ,以 查看 不 明文 件 的 真实 属性 ,避免 无 意 双击 骗子 程序 中 毒 。 

修改 方法 : 打开 资源 管理 器 ( 按 Windows 徽标 键 十 E) ,点 工具 菜单 下 文件 夹 选项 ,再 点 查 
看 ,在 高 级 设置 中 ,选择 查看 所 有 文件 ,取消 隐藏 受 保 护 的 操作 系统 文件 ,取消 隐藏 文件 扩 
展 名 。 
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设 定 用 户 密 码 。 


图 5.4 设置 用 户 密码 


(4) 时 刻 保持 操作 系统 获得 最 新 的 安全 更 新 ,不 要 随意 访问 来 源 不 明 的 网 站 ,特别 是 微 
软 的 MS06-014 漏洞 ,应 立即 打 好 该 漏洞 补丁 。 同 时 ,QQ、MSN 的 漏洞 也 可 以 被 该 病毒 利 
用 ,因此 ,用 户 应 该 去 相关 的 官方 网 站 打 好 最 新 补丁 。 此 外 ,由 于 该 病毒 会 利用 IE 浏览 器 的 
漏洞 进行 攻击 ,因此 用 户 还 应 该 给 IE 打 好 所 有 的 补丁 。 如 果 必 要 的 话 , 用 户 可 以 暂时 换 用 
Firefox、Opera 等 比较 安全 的 浏览 器 。 

(5) 启用 Windows 防火 墙 保护 本 地 计算 机 。 局 域 网 用 户 尽量 避免 创建 可 写 的 共享 目 
录 , 已 经 创建 共享 目录 的 应 立即 停止 共享 。 

此 外 ,对 于 未 感染 的 用 户 ,病毒 专家 建议 ,不 要 登录 不 良 网 站 ,及 时 下 载 微软 公布 的 最 新 
补丁 ,来 避免 病毒 利用 漏洞 袭击 用 户 的 计算 机 ,同时 上 网 时 应 采用 ”杀毒 软件 十 防火 墙 ? 的 立 
体 防御 体系 。 

2.“U 盘 寄 生 虫 "病毒 

金山 反 病 毒 中 心 将 该 病毒 统称 为 "AV 终结 者 ”, 瑞 星 反 病毒 中 心 将 该 病毒 称 为 “ 帕 虫 ”， 
江 民 反 病 毒 中 心 将 该 病毒 称 为 *“U 盘 寄 生 虫 ”。 

“U 盘 寄 生 虫 ”为 一 款 利 用 U 盘 等 移动 存储 设备 传播 的 蠕虫 病毒 ,通过 网 络 大 规模 自动 
传播 ,传播 方式 包括 电子 邮件 、 网 络 共享 .系统 漏洞 .即时 通信 软件 等 。“U 盘 寄 生 虫 "会 利 
用 盘 `MP3、 移 动 硬盘 等 设备 中 的 自动 播放 文件 发 作 , 大 量 占用 系统 资源 ,使 计算 机 运行 
缓慢 、 无 法 上 网 ,甚至 导致 系统 瘫痪 。 此 外 ,受到 攻击 的 局 域 网 还 可 能 出 现 网 络 堵塞 瘫痪 等 
严重 症状 。 

“U 盘 寄 生 虫 "是 蠕虫 家 族 的 重要 成 员 之 一 ,采用 Delphi 语言 编写 ,并 经 过 加 壳 处 理 。 
“U 盘 寄生 虫 " 运 行 后 ,自我 复制 到 系统 盘 根 目录 下 ,文件 名 为 “test, exe”, 将 文件 属性 设置 
为 隐藏 ,并 在 相同 目录 下 创建 “autorun. inf” 文 件 , 达 到 双击 盘 符 就 可 启动 *U 盘 寄 生 虫 " 病 
毒 的 目的 。 普 通用 户 一 旦 感染 该 病毒 ,从 病毒 进入 计算 机 ,到 实施 破坏 ,四 步 就 可 导致 用 户 
计算 机 彻底 崩溃: 第 一 步 禁 用 所 有 杀毒 软件 及 相关 安全 工具 ,让 计算 机 失去 安全 保障 ; 第 
二 步 破坏 安全 模式 ,致使 用 户 根本 无 法 进入 安全 模式 清除 病毒 ; 第 三 步 强行 关闭 带 有 病毒 
字样 的 网 页 ,只 要 在 网 页 中 输入 “病毒 ”相关 字样 ,网 页 遂 被 强行 关闭 ,即使 是 一 些 安全 论坛 也 


无 法 登录 ,用 户 无 法 通过 网 络 寻求 解决 办 法 ; 第 四 步 格式 化 系统 盘 重 装 后 很 容易 被 再 次 感染 。 

用 户 格式 化 后 ,只 要 双击 其 他 盘 符 ,病毒 将 再 次 运行 。 此 外 ,用 户 计算 机 的 安全 防御 体 
系 被 彻底 挫 毁 ,安全 性 几乎 为 零 , 而 “AV 终结 者 ”自动 连接 到 拥有 病毒 的 网 站 ,并 下 载 数 百 
种 木马 病毒 ,各 类 盗号 木马 .广告 木马 `. 风 险 程序 在 用 户 计算 机 毫 无 抵抗 力 的 情况 下 ,鱼贯 而 
来 ,用 户 的 网 银 .网 游 .QQ 账号 密码 以 及 机 密 文件 都 处 于 极度 危险 之 中 。 因 此 提醒 计算 机 
用 户 目前 使 用 计算 机 需 慎之 又 慎 。 

瑞星 反 病 毒 中 心目 前 将 该 病毒 称 为 “ 帕 虫 "病毒 。 据 瑞星 反 病 毒 中 心 表示 二 该 病毒 采用 
了 多 种 技术 手段 来 保护 自身 不 被 清除 ,例如 , 它 会 终结 几 十 种 常用 的 杀毒 软件 ,如 果 用 户 使 
用 google、 百 度 等 搜索 引擎 搜索 “病毒 ' ,浏览 器 也 会 被 病毒 强制 关闭 ,使 得 用 户 无 法 取得 相 
关 人 信息。 尤为 恶劣 的 是 ,该 病毒 还 采用 了 IFEO 劫持 (Windows 文件 映像 动 持 ) 技 术 , 修 改 
注册 表 , 使 QQ 医生 、360 安全 卫士 等 几 十 种 常用 软件 无 法 正常 运行 ,从 而 使 得 用 户 很 难 手 
工 清除 该 病毒 。” 

此 外 , 据 反 病毒 专家 介绍 :“ 该 病毒 通过 映像 动 持 技术 ,将 大 量 杀 毒 软件 “绑架 ,使 其 无 
法 正常 应 用 ,而 用 户 在 点 击 相 关 安 全 软件 后 ,实际 上 已 经 运行 了 病毒 文件 ,实现 病毒 的 ' 先 动 
持 后 掉包 的 计划 。 该 病毒 不 但 可 以 劫持 大 量 杀毒 软件 以 及 安全 工具 ,而 且 还 可 禁止 
Windows 的 自 更 新 和 系统 自 带 的 防火 墙 ,大 大 降低 了 用 户 系统 的 安全 性 ,这 也 是 近 几 年 来 
对 用 户 的 系统 安全 破坏 程度 最 大 的 病毒 之 一 。 而 且 该 病毒 还 会 在 每 个 磁盘 分 区 上 建立 自动 
运行 文件 (包括 U 盘 ), 从 而 使 得 通过 U 盘 传 播 的 概率 大 大 增加 。 同 时 ,由 于 每 个 分 区 上 都 
有 病毒 留 下 的 文件 ,普通 用 户 即使 格式 化 C 盘 重 装 系统 ,也 无 法 彻底 清除 该 病毒 。” 

病毒 专家 建议 ,计算 机 用 户 应 及 时 升级 杀毒 软件 ,开启 杀毒 软件 “实时 监控 ”和 “系统 监 
测 ” 功 能 ,防范 已 知 和 未 知 病毒 。 针 对 越 来 越 多 的 病毒 通过 U 盘 传 播 特 征 , 专 家 建议 用 户 在 
使 用 U 盘 前 ,务必 先 使 用 杀毒 软件 进行 扫描 ,确认 无 毒 后 再 打开 。 此 外 ,用 户 应 养 成 良好 的 
安全 习惯 ,不 随意 点 击 不 明 链 接 和 运行 不 明文 件 ,及 时 为 操作 系统 打 好 补丁 ,关闭 系统 共享 
以 及 为 系统 设置 复杂 的 口令 ,都 可 有 效 减 少 病毒 侵害 。 


5.2.5 病毒 、. 木马、 蠕虫 比较 


通过 网 络 传 播 的 病毒 不 是 网 络 病毒 。 只 有 蠕虫 等 一 些 威胁 可 以 算 作 网 络 病毒 。 蠕 虫 病 
毒 也 不 是 普通 病毒 所 能 比拟 的 ,网 络 的 发 展 使 得 蠕虫 可 以 在 短 短 的 时 间 内 蔓延 整个 网 络 , 造 
成 网 络 瘫 病 。 表 5. 1 列 出 了 病毒 ,木马 .蠕虫 的 各 自 特 点 和 区 别 , 便 于 大 家 理解 。 
表 5.1 病毒 .木马 .蠕虫 比较 


计算 机 病毒 特洛伊 木马 计算 机 蠕虫 

感染 其 他 档案 会 不 会 不 会 

被 动 散播 自己 是 是 不 是 

主动 散播 自己 不 是 不 是 是 
取决 于 网 路 连接 情况 ， 

Se. 计算 机 使 用 率 愈 高 , 档 a 

造成 程序 增加 数目 案 受 感染 的 数目 全 多 不 会 增加 se 

破坏 力 取决 于 病毒 作者 取决 于 病毒 作者 无 

对 企业 的 影响 dH 低 高 


沪 束 技术 


地 On 加 


网 络 安 会 与 管理 


网 络 用 户 所 受 网 络 攻击 类 型 统计 如 图 5. 5 所 示 ,计算 机 病毒 .蠕虫 和 木马 程序 造成 的 安 
全 事件 占 发 生 安全 事件 单位 总 数 的 79%; 拒绝 服务 .端口 扫描 和 得 改 网 页 等 网 络 攻击 事件 
占 43%; 大 规模 垃圾 邮件 传播 造成 的 安全 事件 占 36%; 54% 的 被 调查 单位 网 络 安 全 事件 造 
成 的 损失 比较 轻微 ; 损失 严重 和 非常 严重 的 占 发 生 安全 事件 单位 总 数 的 10%。 


网 络 用 户 所 受 网 络 攻击 类 型 
十 算 机 病 Ga 
计算 机 病毒 、 蠕 
虫 和 木马 程序 Wi 
拒绝 服务 、 端口 my 
扫描 和 纂 改 网 页 

大 规模 垃圾 

邮件 传播 人 


0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 
图 5.5 网 络 用 户 所 受 网 络 攻 击 类 型 


5.2.6 网 络 病毒 的 发 展 趋势 


随 着 网 络 的 发 展 , 网 络 病毒 呈现 出 一 些 新 的 发 展 趋势 ,主要 有 以 下 几 点 : 

(1) 传播 介质 与 攻击 对 象 多 元 化 ,传播 速度 更 快 ,覆盖 面 更 广 。 网 络 病毒 的 传播 不 仅 可 
利用 磁 介 质 ,更 多 的 是 通过 各 种 通信 端口 .网络 和 邮件 等 迅速 传播 。 攻 击 对 象 由 单一 的 个 人 
计算 机 变 为 所 有 具备 通信 功能 的 工作 站 、 服 务 器 甚至 掌上 型 移动 通信 工具 和 PDA。 

(2) 破坏 性 更 强 。 网 络 病毒 的 破坏 性 日 益 增 强 ,它们 可 以 造成 网 络 拥塞 .进而 瘫痪 , 重 
要 数据 丢失 ,机 密 信息 失窃 ,甚至 通过 病毒 完全 控制 计算 机 信息 系统 和 网 络 。 

(3) 难以 控制 和 根治 。 在 网 络 中 ,只 要 有 一 台 计算 机 感染 病毒 ,就 可 通过 内 部 机 制 进行 
传播 ,很 快 使 整个 网 络 受到 影响 甚至 拥塞 或 瘫痪 。 

(4) 病毒 携带 形式 多 样 化 。 在 网 络 环境 下 ,可 执行 程序 .脚本 文件 .HTML 网 页 .电子 
邮件 、 网 上 贺卡 甚至 卡通 图 片 等 都 有 可 能 携带 计算 机 病毒 。 

(5) 编写 方式 多 样 化 ,病毒 变种 多 。 网 络 环境 下 除了 传统 的 汇编 语言 \.C 语言 等 ,以 
JavaScript 和 VBScript 为 首 的 脚本 语言 已 成 为 最 流行 的 病毒 语言 。 利 用 新 的 编程 语言 与 
编程 技术 实现 的 病毒 更 易于 被 修改 以 产生 新 的 变种 ,从 而 逃避 反 病 毒 软件 的 检查 。 另 外 ,已 
经 出 现 了 专门 生产 病毒 的 病毒 生产 机 程序 ,使 得 新 病毒 出 现 的 频率 大 大 提高 。 

(6) 触发 条 件 增多 ,感染 与 发 作 的 几率 增 大 。 

(7) 智能 化 ,隐蔽 化 。 目 前 网 络 病毒 常常 用 到 隐形 技术 、 反 跟踪 技术 、 加 密 技术 、 自 变异 
技术 、 自 我 保护 技术 、 针 对 某 种 反 病毒 技术 的 反 措施 技术 以 及 突破 计算 机 网 络 防护 措施 的 技 
术 等 ,这 使 得 网 络 环境 下 的 病毒 更 加 智能 化 、 隐 项 化 。 

(8) 攻击 目的 明确 化 。 一 些 高 级 病毒 出 于 某 种 经 济 或 政治 上 的 目的 ,被 研制 出 来 扰乱 
或 破坏 社会 信息 政治、 经济 秩 序 ,甚至 是 作为 一 种 信息 战略 武器 。 


5.3 病毒 检测 技术 


随 着 计算 机 病毒 技术 的 不 断 发 展 ,检测 和 查 杀 计算 机 病毒 的 技术 也 在 不 断 地 更 新 并 趋 
于 复杂 化 和 智能 化 。 为 了 选取 有 效 的 病毒 检测 技术 ,在 这 一 部 分 ,首先 将 对 传统 的 病毒 诊断 
技术 进行 分 析 和 对 比 ,其 次 对 基于 网 络 的 病毒 检测 技术 进行 分 析 。 


5.3.1 传统 的 病毒 检测 技术 


1. 程序 和 数据 完整 性 检测 技术 

完整 性 病毒 检测 技术 是 一 种 相当 古老 的 病毒 检测 方法 。 它 的 基本 原理 是 对 每 个 程序 或 
者 代码 根据 某 种 算法 生成 校 验 码 ( 提 取 签名 ) ,一 旦 程序 发 生变 化 ,所 产生 的 校 验 码 必然 与 原 
来 生成 的 校 验 码 不 同 , 这 时 ,可 以 初步 判断 该 改 程序 已 经 被 病毒 感染 。 这 种 技术 具有 很 多 纶 
点 ,以 至 于 现在 几乎 不 被 采用 了 。 其 中 包括 ,病毒 检测 软件 需要 建立 一 个 统一 的 校 验 码 库 ， 
不 能 对 经 常 发 生变 化 的 数据 文件 进行 检测 和 保护 。 有 时 ,程序 被 改动 并 不 是 病毒 感染 造成 
的 ,从 而 造成 检测 的 误 报 率 相当 高 。 这 种 检测 方法 不 能 明确 地 判定 病毒 的 具体 类 型 ,而 且 ， 
如 果 程 序 在 生成 校 验 码 前 已 经 被 病毒 感染 , 则 逃脱 了 以 后 的 完整 性 检测 。 

2. 病毒 特征 码 检测 技术 

病毒 特征 码 检测 技术 是 目前 被 广泛 使 用 的 一 种 病毒 检测 技术 。 它 的 基本 原理 是 通过 对 
病毒 源 程序 的 分 析 ,提取 出 能 够 唯一 代表 该 病毒 的 一 串 病 毒 代码 ,该 串 代码 经 过 测试 ,是 其 
他 程序 所 没有 的 。 这 种 病毒 检测 的 方法 ,非常 高 效 ,如 果 病 毒 特征 码 提取 质量 高 的 话 , 病 毒 
的 检测 率 相当 高 ,而 误 报 率 会 非常 小 。 这 种 病毒 检测 方法 能 够 唯一 地 确定 病毒 的 种 类 和 名 
字 , 为 下 一 步 的 杀毒 提供 依据 。 这 种 检测 技术 的 弱点 是 , 它 仅仅 能 够 检测 已 知 病毒 ,而 对 于 
未 知 病毒 往往 需要 经 过 人 工分 析 , 提 取 特征 码 后 才能 进行 。 随 着 病毒 技术 的 不 断 发 展 ,特别 
是 变形 病毒 的 出 现 , 病 毒 每 次 传染 后 病毒 代码 本 身 都 会 加 密 而 各 次 代码 都 不 相同 。 这 时 ,就 
不 存在 一 个 单一 的 病毒 特征 码 了 ,所 以 病毒 特征 码 检测 技术 对 变形 病毒 可 以 说 是 无 能 为 力 。 

3 局 发 式 规 则 (或 广 谱 特 征 码 病毒 检测 技术 

启发 式 规 则 病毒 检测 是 一 种 专门 针对 未 知 病毒 的 病毒 检测 技术 。 它 的 基本 原理 是 通过 
对 一 系列 病毒 代码 的 分 析 ,提取 一 种 广 谱 特 征 码 , 即 代表 病毒 的 某 一 种 行为 特征 的 特殊 程序 
代码 ,当然 仅仅 是 一 段 特 征 码 还 不 能 确定 一 定 是 某 一 种 病毒 ,通过 多 种 广 谱 特征 码 , 也 就 是 
启发 式 规则 的 判断 ,综合 考虑 各 种 因素 ,确定 到 底 是 否 是 病毒 ,是 哪 一 种 病毒 。 这 种 病毒 检 
测 方法 的 优点 就 是 针对 未 知 病毒 ,而 缺点 在 于 , 它 的 诊断 的 正确 率 (包括 检测 率 和 误 报 率 ) 和 
规则 的 选取 有 密切 的 关系 。 往 往 是 某 些 规则 对 某 种 病毒 很 有 效 , 但 是 却 影响 其 他 类 型 的 病 
毒 的 检测 。 规 则 选取 的 困难 和 相互 矛盾 决定 了 这 种 方法 只 能 是 一 种 辅助 的 检测 手段 。 

4. 基于 操作 系统 的 监视 和 检测 技术 

较 早 的 操作 系统 监视 和 检测 技术 是 从 中 断 向 量 监视 开始 的 ,病毒 诊断 软件 通过 监视 系 
统 的 中 断 向 量 表 来 判定 是 否 有 病毒 人 侵 。 此 外 ,内 存 检测 也 是 操作 系统 检测 技术 的 手段 之 
一 。 随 着 技术 的 不 断 发 展 , 现 在 的 一 些 杀 毒 产品 采用 的 是 嵌入 操作 系统 内 核 的 检测 , 它 不 仅 
检测 中 断 向 量 表 等 一 些 关键 数据 结构 ,还 要 监视 系统 的 一 些 关键 调用 .系统 的 运行 状况 、 文 
件 系统 的 访问 状况 等 多 个 指标 ,从 而 判定 系统 是 否 工作 不 正常 ,程序 是 否 被 病毒 感染 。 这 种 
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监视 和 检测 技术 的 实现 难度 很 大 ,需要 操作 系统 厂商 的 配合 。 而 且 ,这 种 方法 同样 无 法 确定 
究竟 是 何 种 病毒 , 误 报 率 很 高 。 

5. 传统 虚拟 机 病毒 检测 技术 

虚拟 机 病毒 检测 技术 是 一 种 最 新 的 病毒 检测 技术 。 它 的 基本 原理 是 ,为 可 能 的 病毒 程 
序 构建 一 个 虚拟 的 运行 环境 , 诱 使 病毒 程序 进行 感染 和 破坏 活动 。 虚 拟 机 病毒 检测 技术 的 
最 大 优点 是 能 够 很 高 效率 地 检测 出 病毒 ,特别 是 特征 码 技术 很 难 解决 的 变形 病毒 技术 。 早 
期 的 虚拟 机 并 不 是 真正 意义 上 的 虚拟 机 ,它们 仅仅 是 利用 Windows 操作 系统 的 一 些 特殊 
功能 来 构造 一 个 伪 虚 拟 机 ,但 是 聪明 的 病毒 程序 往往 可 以 破坏 虚拟 机 本 身 。 而 且 , 虚 拟 机 的 
运行 需要 相当 的 系统 资源 ,可 能 会 影响 正常 程序 的 运行 。 

通过 对 以 上 技术 的 比较 ,可 以 看 出 ,无 论 哪 一 种 技术 都 不 能 说 是 十 全 十 美的 。 就 目 
前 计算 机 病毒 的 诊断 技术 而 言 ,无 论 是 哪 一 种 诊断 软件 都 不 可 能 仅仅 采用 某 一 种 诊断 方 
法 。 最 新 的 病毒 诊断 技术 往往 把 多 种 技术 融合 在 一 起 ,发 挥 各 种 技术 的 长 处 ,达到 最 好 
的 效果 。 


5.3.2 基于 网 络 的 病毒 检测 技术 


从 本 质 上 讲 , 基 于 网 络 的 病毒 检测 技术 并 没有 在 传统 的 病毒 检测 技术 上 做 出 本 质 性 的 
更 新 ,新 的 技术 往往 是 针对 网 络 病毒 的 特点 ,对 传统 的 病毒 监测 技术 进行 优化 并 应 用 在 网 络 
环境 中 。 

1. 实时 网 络 流量 检测 

从 原理 上 ,实时 网 络 流量 监测 继承 了 自 病毒 特征 码 检 测 技术 ,但 是 网 络 病毒 检测 有 其 独 
到 之 处 。 网 络 病毒 的 实时 检测 将 实时 地 截取 网 络 文件 传输 的 信息 流 ,从 传播 途径 上 对 病毒 
进行 及 时 的 检测 ,并 能 够 实时 做 出 反馈 行为 。 网 络 病毒 实时 检测 的 目标 是 已 知 的 病毒 。 其 
优点 在 于 它 能 实时 地 监测 网 络 流量 ,发 现 绝 大 多 数 已 知 病毒 ,缺点 在 于 随 着 网 络 流量 的 呈 几 
何 级 数 增长 ,对 巨大 的 流量 进行 实时 监测 往往 需要 占用 大 量 的 系统 资源 ,同时 对 未 知 病毒 ， 
这 种 方法 完全 无 能 为 力 。 在 我 们 的 系统 中 ,也 使 用 了 实时 的 网 络 流量 监测 ,并 针对 它 存在 的 
缺陷 进行 了 改进 和 完善 。 

2. 异常 流量 分 析 

网 络 流量 异常 的 种 类 较 多 ,从 不 同 的 角度 分 析 有 不 同 的 分 类 结果 ,从 产生 异常 流量 的 原 
因 分 析 可 以 将 其 分 成 三 个 广义 的 异常 类 : 网 络 操作 异常 .闪现 拥挤 异常 和 网 络 滥用 异常 。 
网 络 操 作 异 常 是 指 网 络 设备 的 停机 、 配 置 改变 等 导致 的 网 络 行为 的 显著 变化 ,以 及 流量 达到 
环境 极限 引起 的 台阶 行为 ; 闪现 拥挤 异常 出 现 的 原因 通常 是 软件 版 本 的 问题 ,或 者 是 国家 
公开 带 来 的 Web 站 点 的 外 部 利益 问题 。 特 定 类 型 流量 的 快速 增长 (例如 FTP 流 ) ,或 者 知 
名 IP 地 址 的 流量 随 着 时 间 渐 渐 降 低 ,都 是 闪现 拥挤 的 显著 表现 ; 网 络 滥用 异常 主要 是 由 以 
DoS 洪 泛 攻击 和 端口 扫描 为 代表 的 各 种 网 络 攻 击 导致 的 ,这 种 网 络 异 常 也 是 我 们 的 网 络 病 
毒 检 测 系统 所 感 兴趣 的 。 

基于 网 络 滥用 异常 的 流量 分 析 可 以 看 作 是 对 启发 式 规则 病毒 检测 技术 的 一 种 衍生 ,这 
种 技术 的 优势 是 能 发 现 未 知 的 网 络 病毒 ,同时 可 以 通过 流量 信息 直接 定位 可 能 感染 了 病毒 
的 机 器 ,对 于 一 些 蠕虫 的 变种 及 新 的 网 络 病毒 有 较 好 的 发 现 效果 。 


3. 蜜 拟 系统 

蜜 镀 系 统 可 以 看 做 是 传统 的 虚拟 机 病毒 检测 技术 在 网 络 环境 中 的 一 种 新 的 应 用 。 密 负 
定义 为 一 种 安全 资源 , 它 并 没有 任何 业务 上 的 用 途 , 它 的 价值 就 是 吸引 攻击 者 对 它 进行 非法 
的 使 用 。 蜜 缸 技 术 本 质 上 是 一 种 对 攻击 者 进行 欺骗 的 技术 ,通过 布置 一 些 作为 诱饵 的 主机 、 
网 络 服务 以 及 信息 诱 使 攻击 者 对 其 进行 攻击 ,减少 对 实际 系统 所 造成 的 安全 威胁 。 更 重要 
的 是 蜜 钠 技 术 可 以 对 攻击 行为 进行 监控 和 分 析 , 了 解 攻击 者 所 使 用 的 攻击 工具 和 攻击 方法 ， 
推测 攻击 者 的 意图 和 动机 ,在 此 基础 上 尽 可 能 地 追踪 攻击 者 的 来 源 , 对 其 攻击 行为 进行 审计 
和 取证 ,从 而 能 够 让 防御 者 清晰 地 了 解 他 们 所 面 对 的 安全 威胁 ,并 通过 法 律 手段 去 追究 攻击 
者 的 责任 ,或 者 通过 技术 和 管理 手段 来 增强 对 实际 系统 的 安全 防护 能 力 。 蜜 钢 技 术 最 大 的 
应 用 目标 是 提供 一 个 高 度 可 控 的 环境 对 互联 网 上 的 各 种 安全 威胁 (包括 黑客 攻击 、 恶 意 软 件 
传播 .垃圾 邮件 .僵尸 网 络 和 网 络 钓鱼 等 ) 进 行 深入 的 了 解 与 分 析 , 从 而 为 安全 防御 提供 知识 
和 经 验 支 持 。 


课 后 习 题 


选择 题 

1. 不 属于 计算 机 病毒 防治 策略 的 是 (  )。 
A. 确认 您 手头 常备 一 张 真正 "干净 ”的 引导 盘 
. 及 时 可靠 升 级 反 病毒 产品 


[so 


C. 新 购置 的 计算 机 软件 也 要 进行 病毒 检测 

D. 整理 磁盘 

2. 计算 机 病毒 的 特征 之 一 是 ( ks 

A. 非 授权 不 可 执行 性 B. 非 授 权 可 执行 性 

C. 授权 不 可 执行 性 D. 授权 可 执行 性 

3. 计算 机 病毒 最 重要 的 特征 是 ( js 

A. 隐蔽 性 B. 传染 性 C. 潜伏 性 D. 破坏 性 

4. 计算 机 病毒 ( Ws 

A. 不 影响 计算 机 的 运算 速度 B. 可 能 会 造成 计算 机 器 件 的 永久 失效 
C. 不 影响 计算 机 的 运算 结果 D. 不 影响 程序 执行 . 破坏 数据 与 程序 


5. CIH 病毒 破坏 计算 机 的 BIOS ,使 计算 机 无 法 启动 。 它 是 由 时 间 条 件 来 触发 的 ,其 发 
作 的 时 间 是 每 月 的 26 号 ,这 主要 说 明 病 毒 具 有 ( ) 。 


A. 可 传染 性 B. 可 和 触发 性 C. 破坏 性 D. 免疫 性 

填空 题 

1. 网 络 病毒 主要 进行 游戏 等 ) 的 盗 取 工作 ,远程 操控 ,或 把 你 的 计算 机 当 作 肉 鸡 
使 用 。 

2. 特洛伊 木马 简称 木马 , 它 是 一 种 基于 ( ) 的 黑客 工具 ,具有 ( ) 和 ( ) 的 
特点 。 


3. 蠕虫 程序 主要 利用 ( ) 进 行 传播 。 
4. 蠕虫 病毒 采取 的 传播 方式 ,一 般 为 ( ) 以 及 ( is 


涯 毒 技术 


地 On 加 


网 络 安 会 与 管理 


5.( ， ) 可 以 阻挡 90% 的 黑客 蠕虫 病毒 及 消除 系统 漏洞 引起 的 安全 性 问题 。 
简 答 题 

. 什么 是 计算 机 病毒 ? 

. 什么 是 木马 ? 

. 什么 是 蠕虫 ? 

计算 机 病毒 的 特点 有 哪些 ? 

用 户 计算 机 中 毒 症 状 有 哪些 ? 

. 网 络 传播 性 木马 有 哪些 新 的 特征 ? 

. 蠕虫 的 行为 特征 有 哪些 ? 

. 蠕虫 技术 发 展 的 趋势 是 什么 ? 

. 网 络 病毒 的 发 展 趋势 有 哪 几 点 ? 

10. 个 人 用 户 对 蠕虫 病毒 的 防范 措施 有 哪些 ? 
11. 防范 “熊猫 烧香 "病毒 的 措施 有 哪些 ? 
12. 病毒 检测 技术 主要 有 哪些 种 类 ? 
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第 6 章 防火 墙 技术 


6.1 防火 墙 概述 


所 谓 防火 墙 指 的 是 一 个 由 软件 和 硬件 设备 组 合 而 成 .在 内 部 网 和 外 部 网 之 间 、 专 用 网 与 
公共 网 之 间 的 界面 上 构造 的 保护 屏障 ,是 一 种 获取 安全 性 方法 的 形象 说 法 , 它 是 一 种 计算 机 
硬件 和 软件 的 结合 ,使 Internet 与 Intranet 之 间 建 立 起 一 个 安全 网 关 , 从 而 保护 内 部 网 免 受 
非法 用 户 的 侵入 。 防 火 墙 主要 由 服务 访问 规则 、 验 证 工具 . 包 过 滤 和 应 用 网 关 4 个 部 分 组 
成 。 防 火 墙 结构 示意 图 如 图 6. 1 所 示 。 计 算 机 流入 流出 的 所 有 网 络 通信 均 要 经 过 此 防 
火 墙 。 
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图 6.1 防火 墙 示意 图 


6.1.1 防火 墙 的 功能 


防火 墙 在 网 络 中 真正 像 一 堵 墙 一 样 。 从 防火 墙 的 过 滤 机 制 来 说 ,防火 墙 就 像 一 个 二 极 
管 一 样 ,而 二 极 管 具有 单 向 导电 性 ,这 样 也 就 形象 地 说 明了 防火 墙 具 有 单 向 导 通 性 。 这 看 起 
来 与 现在 防火 墙 过 滤 机 制 有 些 矛 盾 ,不 过 它 却 完全 体现 了 防火 墙 初期 的 设计 思想 ,同时 也 在 
相当 大 程度 上 体现 了 当前 防火 墙 的 过 滤 机 制 。 因 为 防火 墙 最 初 的 设计 思想 是 对 内 部 网 络 总 
是 信任 的 ,而 对 外 部 网 络 却 总 是 不 信任 的 ,所 以 最 初 的 防火 墙 是 只 对 外 部 进来 的 通信 进行 过 
滤 ,而 对 内 部 网 络 用 户 发 出 的 通信 不 作 限 制 。 当 然 目前 的 防火 墙 在 过 滤 机 制 上 有 所 改变 ,不 
仅 对 外 部 网 络 发 出 的 通信 连接 要 进行 过 滤 ,对 内 部 网 络 用 户 发 出 的 部 分 连接 请 求 和 数据 包 
同样 需要 过 滤 ,但 防火 墙 仍 只 允许 符合 安全 策略 的 通信 通过 ,也 可 以 说 具有 单 向 导 通 性 。 

防火 墙 的 原意 是 指 古 代 构 筑 和 使 用 木 制 结构 房屋 的 时 候 , 为 防止 火灾 的 发 生 和 蔓延 ,人 
们 将 坚固 的 石 块 堆砌 在 房屋 周围 作为 屏障 ,这 种 防护 构筑 物 就 被 称 为 防火墙。 其 实 与 防 
火 墙 一 起 起 作用 的 就 是 “ 门 >。 如 果 没 有 门 ,各 房间 的 人 如 何 沟通 呢 ? 这 些 房间 的 人 又 如 何 
进去 呢 ? 当 火 灾 发 生 时 ,这 些 人 又 如 何 逃 离 现场 呢 ? 这 个 门 就 相当 于 这 里 所 讲 的 防火 墙 的 
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“安全 策略 ”, 所 以 在 此 处 所 说 的 防火 墙 实际 上 并 不 是 一 堵 实心 墙 , 而 是 带 有 一 些小 孔 的 墙 。 
这 些小 孔 就 是 用 来 留 给 那些 允许 进行 的 通信 ,在 这 些小 孔 中 安装 了 过 滤 机 制 , 也 就 是 上 面 所 
介绍 的 单 向 导 通 性 。 

防火 墙 的 功能 可 以 归纳 为 以 下 几 个 方面 。 

1. 防火 墙 是 网 络 安全 的 屏障 

一 个 防火 墙 ( 作 为 阻塞 点 .控制 点 ) 能 极 大 地 提高 一 个 内 部 网 络 的 安全 性 ,并 通过 过 滤 不 
安全 的 服务 而 降低 风险 。 由 于 只 有 经 过 精心 选择 的 应 用 协议 才能 通过 防火 墙 ,所 以 网 络 环 
境 变 得 更 安全 。 如 防火 墙 可 以 禁止 诸如 众所周知 的 不 安全 的 NFS 协议 进出 受 保护 网 络 ,这 
样 外 部 的 攻击 者 就 不 可 能 利用 这 些 脆弱 的 协议 来 攻击 内 部 网 络 。 防 火 墙 同 时 可 以 保护 网 络 
免 受 基 于 路 由 的 攻击 ,如 IP 选项 中 的 源 路 由 攻击 和 ICMP 重 定向 中 的 重 定向 路 径 。 防 火 墙 
应 该 可 以 拒绝 所 有 以 上 类 型 攻击 的 报 文 并 通知 防火 墙 管理 员 。 

2. 防火 墙 可 以 强化 网 络 安全 策略 

通过 以 防火 墙 为 中 心 的 安全 方案 配置 ,能 将 所 有 安全 软件 (如 口令 、 加 密 、 身 份 认证 \、 审 
计 等 ) 配 置 在 防火 墙 上 。 与 将 网 络 安全 问题 分 散 到 各 个 主机 上 相 比 ,防火 墙 的 集中 安全 管理 
更 经 济 。 例 如 在 网 络 访问 时 ,动态 口令 系统 和 其 他 身份 认证 系统 完全 可 以 不 必 分 散在 各 个 
主机 上 ,而 集中 在 防火 墙 上 。 

3. 对 网 络 存 取 和 访问 进行 监控 审计 

如 果 所 有 的 访问 都 经 过 防火 墙 , 那 么 ,防火墙 就 能 记录 下 这 些 访 问 并 作出 日 志 记录 , 同 
时 也 能 提供 网 络 使 用 情况 的 统计 数据 。 当 发 生 可 疑 动作 时 ,防火 墙 能 进行 适当 的 报警 ,并 提 
供 网 络 是 否 受 到 监测 和 攻击 的 详细 信息 。 另 外 ,收集 一 个 网 络 的 使 用 和 误 用 情况 也 是 非常 
重要 的 。 首 先 的 理由 是 可 以 清楚 防火 墙 是 否 能 够 抵挡 攻击 者 的 探测 和 攻击 ,并 且 清 楚 防 火 
墙 的 控制 是 否 充 足 。 而 网 络 使 用 情况 的 统计 对 网 络 需 求 分 析 和 威胁 分 析 等 而 言 也 是 非常 重 
要 的 。 

4. 防止 内 部 信息 的 外 浊 

通过 利用 防火 墙 对 内 部 网 络 的 划分 ,可 实现 内 部 网 重点 网 段 的 隔离 ,从 而 限制 了 局 部 重 
点 或 敏感 网 络 安全 问题 对 全 局 网 络 造成 的 影响 。 再 者 ,隐私 是 内 部 网 络 非常 关心 的 问题 ,一 
个 内 部 网 络 中 不 引 人 注 意 的 细节 可 能 包含 了 有 关 安 全 的 线索 而 引起 外 部 攻击 者 的 兴趣 , 甚 
至 因此 而 暴露 了 内 部 网 络 的 某 些 安全 漏洞 。 使 用 防火 墙 就 可 以 隐蔽 那些 透漏 内 部 细节 如 
Finger、DNS 等 服务 。Finger 显示 了 主机 的 所 有 用 户 的 注册 名 、 真 名 ,最 后 登录 时 间 和 使 用 
shell 类 型 等 。 但 是 Finger 显示 的 信息 非常 容易 被 攻击 者 所 获悉 。 攻 击 者 可 以 知道 一 个 系 
统 使 用 的 频繁 程度 ,这 个 系统 是 否 有 用 户 正 在 连 线 上 网 ,这 个 系统 是 否 在 被 攻击 时 引起 注意 
等 。 防 火 墙 可 以 同样 阻塞 有 关内 部 网 络 中 的 DNS 信息 ,这 样 一 台 主机 的 域名 和 IP 地 址 就 
不 会 被 外 界 所 了 解 。 

除了 安全 作用 ,防火 墙 还 支持 具有 VPN( 虚 拟 专 用 网 ) NAT( 网 络 地 址 转换 ) 等 功能 。 


6.1.2 防火 墙 的 基本 将 性 


防火 墙 可 以 使 企业 内 部 局 域 网 网 络 与 Internet 之 间或 者 与 其 他 外 部 网 络 互相 隔离 、 限 
制 网 络 互 访 用 来 保护 内 部 网 络 。 典 型 的 防火 墙 具 有 以 下 三 个 方面 的 基本 特性 。 


1. 内 部 网 络 和 外 部 网 络 之 间 的 所 有 网 络 数据 流 都 必须 经 过 防火 墙 

这 是 防火 墙 所 处 网 络 位 置 决定 的 ,同时 也 是 一 个 前 提 。 因 为 只 有 当 防 火 墙 是 内 、 外 部 网 
络 之 间 通 信 的 唯一 通道 , 才 可 以 全 面 有 效 地 保护 企业 内 部 网 络 不 受 侵害 。 

根据 美国 国家 安全 局 制定 的 (信息 保障 技术 框架 》, 防 火 墙 适用 于 用 户 网 络 系统 的 边界 ， 
属于 用 户 网 络 边界 的 安全 保护 设备 。 网 络 边 界 是 采用 不 同安 全 策略 的 两 个 网 络 连 接 处 , 比 
如 用 户 网 络 和 互联 网 之 间 连 接 、 与 其 他 业务 往来 单位 的 网 络 连 接 、 用 户 内 部 网 络 不 同 部 门 之 
间 的 连接 等 。 防 火 墙 的 目的 就 是 在 网 络 连 接 之 间 建 立 一 个 安全 控制 点 ,通过 允许 ,拒绝 或 重 
新 定向 经 过 防火 墙 的 数据 流 , 实 现 对 进 、 出 内 部 网 络 的 服务 和 访问 的 审计 和 控制 。 

典型 的 防火 墙 体系 结构 如 图 6.2 所 示 。 从 图 中 可 以 看 出 ,防火 墙 的 一 端 连接 企 事 业 单 
位 内 部 的 局 域 网 ,而 另 一 端 则 连接 着 互联 网 。 所 有 的 内 、 外 部 网 络 之 间 的 通信 都 要 经 过 防火 
墙 。 而 内 部 网 络 之 间 也 可 通过 安全 防火 墙 来 实现 数据 流 的 控制 。 
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图 6.2 防火 墙 体系 结 


2. 只 有 符合 安全 策略 的 数据 流 才 能 通过 防火 墙 

防火 墙 最 基本 的 功能 是 确保 网 络 流量 的 合法 性 ,并 在 此 前 提 下 将 网 络 的 流量 快速 地 从 
一 条 链 路 转发 到 另外 的 链 路 上 去 。 从 最 早 的 防火 墙 模型 开始 谈 起 ,原始 的 防火 墙 是 一 台 “ 双 
穴 主 机 ”, 即 具备 两 个 网 络 接口 ,同时 拥有 两 个 网 络 层 地 址 。 防 火 墙 将 网 络 上 的 流量 通过 相 
应 的 网 络 接口 接收 上 来 ,按照 OSI 协议 栈 的 七 层 结构 顺序 上 传 ,在 适当 的 协议 层 进行 访问 
规则 和 安全 审查 ,然后 将 符合 通过 条 件 的 报 文 从 相应 的 网 络 接口 送出 ,而 对 于 那些 不 符合 通 
过 条 件 的 报 文 则 予以 阻 断 。 因 此 ,从 这 个 角度 上 来 说 ,防火 墙 是 一 个 类 似 于 桥接 或 路 由 器 
的 、 多 端口 的 (网 络 接口 宇 2) 转 发 设备 , 它 跨 接 于 多 个 分 离 的 物理 网 段 之 间 , 并 在 报 文 转发 过 
程 之 中 完成 对 报 文 的 审查 工作 。 

3. 防火 墙 自身 应 具有 非常 强 的 抗 攻击 免疫 力 

这 是 防火 墙 之 所 以 能 担当 企业 内 部 网 络 安全 防护 重任 的 先决 条 件 。 防 火 墙 处 于 网 络 边 
缘 , 它 就 像 一 个 边界 卫士 一 样 , 每 时 每 刻 都 要 面 对 黑 客 的 入 侵 ,这 样 就 要 求 防火 墙 自 身 要 具 
有 非常 强 的 抗击 人 侵 本 领 。 它 之 所 以 具有 这 么 强 的 本 领 ,防火 墙 操作 系统 本 身 是 关键 ,只 有 
自身 具有 完整 信任 关系 的 操作 系统 才 可 以 谈论 系统 的 安全 性 。 其 次 就 是 防火 墙 自身 具有 非 
常 低 的 服务 功能 ,除了 专门 的 防火 墙 谋 入 系统 外 ,再 没有 其 他 应 用 程序 在 防火 墙 上 运行 。 当 
然 这 些 安全 性 也 只 能 说 是 相对 的 。 

目前 国内 的 防火 墙 几乎 被 国外 的 品牌 占据 了 一 半 的 市 场 ,国外 品牌 的 优势 主要 是 在 技 
术 和 知名 度 上 比 国内 产品 高 ; 而 国内 防火 墙 厂 商 对 国内 用 户 了 解 更 加 透彻 ,价格 上 也 更 具 
有 优势 。 防 火 墙 产品 中 ,国外 主流 厂商 为 Cisco、CheckPoint、NetScreen 等 ,国内 主流 厂商 为 
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东软 .天 融 信 、 联 想 方正 等 ,它们 都 提供 不 同 级 别 的 防火 墙 产品 。 


6.2 DMZ 简介 


6.2.1 DMLZ 的 概念 


DMZ 是 英文 DeMilitarized Zone 的 缩写 ,中 文 名 称 为 “隔离 区 ”, 也 称 “ 非 军事 化 区 ”。 它 
是 为 了 解决 安装 防火 墙 后 外 部 网 络 不 能 访问 内 部 网 络 服务 器 的 问题 ,而 设立 的 一 个 非 安 全 
系统 与 安全 系统 之 间 的 缓冲 区 ,这 个 缓冲 区 位 于 企业 内 部 网 络 和 外 部 网 络 之 间 的 小 网 络 区 
域内 ,在 这 个 小 网 络 区 域内 可 以 放置 一 些 必须 公开 的 服务 器 设施 ,如 企业 Web 服务 器 FTP 
服务 器 和 论坛 等 。 另 一 方面 ,通过 这 样 一 个 DMZ 区 域 ,更 加 有 效 地 保护 了 内 部 网 络 , 因 为 
这 种 网 络 部 署 , 比 起 一 般 的 防火 墙 方案 ,对 攻击 者 来 说 又 多 了 一 道 关卡 ,如 图 6. 3 所 示 。 
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图 6.3 DMZ 示意 图 


网 络 设备 开发 商 利用 这 一 技术 ,开发 出 了 相应 的 防火 墙 解决 方案 , 称 为 “ 非 军事 区 结构 
模式 ”。DMZ 通常 是 一 个 过 滤 的 子 网 ,在 内 部 网 络 和 外 部 网 络 之 间 构 造 了 一 个 安全 地 带 。 

DMZ 防火 墙 方案 为 要 保护 的 内 部 网 络 增加 了 一 道 安全 防线 ,通常 认为 是 非常 安全 的 。 
同时 它 提供 了 一 个 区 域 放置 公共 服务 器 ,从 而 又 能 有 效 地 避免 一 些 互 联 应 用 需要 公开 , 却 与 
内 部 安全 策略 相 矛 盾 的 情况 发 生 。 在 DMZ 区 域 中 通常 包括 堡垒 主机 .modem 池 , 以 及 所 有 
的 公共 服务 器 ,但 要 注意 的 是 电子 商务 服务 器 只 能 用 作用 户 连接 ,真正 的 电子 商务 后 台数 据 
需要 放 在 内 部 网 络 中 。 

在 这 个 防火 墙 方案 中 ,包括 两 个 防火 墙 , 外 部 防火 墙 抵挡 外 部 网 络 的 攻击 ,并 管理 所 有 
内 部 网 络 对 DMZ 的 访问 。 内 部 防火 墙 管理 DMZ 对 于 内 部 网 络 的 访问 。 内 部 防火 墙 是 内 
部 网 络 的 第 三 道 安全 防线 (前 面 有 了 外 部 防火 墙 和 堡垒 主机 ) , 当 外 部 防火 墙 失效 的 时 候 , 它 
还 可 以 起 到 保护 内 部 网 络 的 功能 。 而 局 域 网 内 部 ,对 于 Internet 的 访问 由 内 部 防火 墙 和 位 
于 DMZ 的 堡垒 主机 控制 。 在 这 样 的 结构 里 ,一 个 黑客 必须 通过 三 个 独立 的 区 域 ( 外 部 防火 
墙 . 内 部 防火 墙 和 堡垒 主机 ) 才 能 够 到 达 局 域 网 。 攻 击 难度 大 大 加 强 , 相 应 内 部 网 络 的 安全 
性 也 就 大 大 加 强 ,但 投资 成 本 也 是 最 高 的 


如 果 你 的 机 器 不 提供 网 站 或 其 他 的 网 络 服务 的 话 不 要 设置 。DMZ 是 把 你 计算 机 的 所 
有 端口 开放 到 网 络 。 


6.2.2 DMZ 网 络 访问 榨 制 策略 


当 规划 一 个 拥有 DMZ 的 网 络 的 时 候 , 可 以 明确 各 个 网 络 之 间 的 访问 关系 ,以 确定 以 下 
6 条 访问 控制 策略 。 

(1) 内 网 可 以 访问 外 网 ,内 网 的 用 户 显然 需要 自由 地 访问 外 网 。 在 这 一 策略 中 ,防火 墙 
需要 进行 源 地 址 转换 。 

(2) 内 网 可 以 访问 DMZ, 此 策略 是 为 了 方便 内 网 用 户 使 用 和 管理 DMZ 中 的 服务 器 。 

(3) 外 网 不 能 访问 内 网 ,很 显然 ,内 网 中 存放 的 是 公司 内 部 数据 ,这 些 数据 不 允许 外 网 
的 用 户 进行 访问 。 

(4) 外 网 可 以 访问 DMZ,DMZ 中 的 服务 器 本 身 就 是 要 给 外 界 提供 服务 的 ,所 以 外 网 必 
须 可 以 访问 DMZ。 同 时 ,外 网 访问 DMZ 需要 由 防火 墙 完成 对 外 地 址 到 服务 器 实际 地 址 的 
转换 。 

(5) DMZ 不 能 访问 内 网 ,很 明显 ,如果 违背 此 策略 , 则 当 入 侵 者 攻陷 DMZ 时 ,就 可 以 进 
一 步 进攻 到 内 网 的 重要 数据 。 

(6) DMZ 不 能 访问 外 网 ,此 条 策略 也 有 例外 ,比如 DMZ 中 放置 邮件 服务 器 时 ,就 需要 
访问 外 网 ,否则 将 不 能 正常 工作 。 在 网 络 中 , 非 军事 化 区 (DMZ) 是 指 为 不 信任 系统 提供 服 
务 的 孤立 网 段 ,其 目的 是 把 敏感 的 内 部 网 络 和 其 他 提供 访问 服务 的 网 络 分 开 , 阻 止 内 网 和 外 
网 直接 通信 ,以 保证 内 网 安全 。 


6.2.3 DMZ 服务 配置 


DMZ 提供 的 服务 是 经 过 了 网 络 地 址 转换 (NAT) 和 受 安全 规则 限制 的 ,以 达到 隐蔽 真 
实地 址 ,控制 访问 的 功能 。 首 先 要 根据 将 要 提供 的 服务 和 安全 策略 建立 一 个 清晰 的 网 络 拓 
扑 , 确 定 DMZ 区 应 用 服务 器 的 IP 和 端口 号 以 及 数据 流向 。 通 常 网 络 通信 流向 为 禁止 外 网 
区 与 内 网 区 直接 通信 ,DMZ 区 既 可 与 外 网 区 进行 通信 ,也 可 以 与 内 网 区 进行 通信 , 受 安 全 规 
则 限制 。 

1. 网 络 地 址 转换 (NAT) 

DMZ 区 服务 器 与 内 网 区 、 外 网 区 的 通信 是 经 过 网 络 地 址 转换 实现 的 。 网 络 地 址 转换 用 
于 将 一 个 地 址 域 (如 专用 Intranet) 映 射 到 另 一 个 地 址 域 ( 如 Internet) ,以 达到 隐藏 专用 网 络 
的 目的 。DMZ 区 服务 器 对 内 服务 时 映射 成 内 网 地 址 ,对 外 服务 时 映射 成 外 网 地 址 。 采 用 静 
态 映射 配 置 网 络 地 址 转换 时 ,服务 用 IP 和 真实 IP 要 一 一 映射 , 源 地 址 转换 和 目的 地 址 转换 
都 必须 要 有 。 

2. DMZ 安全 规则 制定 

安全 规则 集 是 安全 策略 的 技术 实现 ,一 个 可 靠 ,高效 的 安全 规则 集 是 实现 一 个 成 功 、 安 
全 的 防火 墙 的 非常 关键 的 一 步 。 如 果 防 火 墙 规则 集 配 置 错误 ,再 好 的 防火 墙 也 只 是 摆设 。 
在 建立 规则 集 时 必须 注意 规则 次 序 , 因 为 防火 墙 大 多 以 顺序 方式 检查 信息 包 , 同 样 的 规则 ， 
以 不 同 的 次 序 放置 ,可 能 会 完全 改变 防火 墙 的 运转 情况 。 如 果 信 息 包 经 过 每 一 条 规则 而 没 
有 发 现 匹 配 , 这 个 信息 包 便 会 被 拒绝 。 一 般 来 说 ,通常 的 顺序 是 , 较 特殊 的 规则 在 前 , 较 普通 
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的 规则 在 后 ,防止 在 找到 一 个 特殊 规则 之 前 一 个 普通 规则 便 被 匹配 ,避免 防火 墙 被 配置 
错误 。 

DMZ 安全 规则 指定 了 非 军事 区 内 的 某 一 主机 (IP 地 址 ) 对 应 的 安全 策略 。 由 于 DMZ 
区 内 放置 的 服务 器 主机 将 提供 公共 服务 ,其 地 址 是 公开 的 ,可 以 被 外 部 网 的 用 户 访问 ,所 以 
正确 设置 DMZ 区 安全 规则 对 保证 网 络 安全 是 十 分 重要 的 。 

防火 墙 可 以 根据 数据 包 的 地 址 、 协 议和 端口 进行 访问 控制 。 它 将 每 个 连接 作为 一 个 数 
据 流 , 通 过 规则 表 与 连接 表 共 同 配合 ,对 网 络 连接 和 会 话 的 当前 状态 进行 分 析 和 监控 。 其 用 
于 过 滤 和 监控 的 IP 包 信息 主要 有 : 源 IP 地 址 .目的 IP 地址、 协议 类 型 (IP、ICMP、TCP、 
UDP) 、 源 TCP/UDP 端口 .目的 TCP/UDP 端口 ICMP 报 文 类 型 域 和 代码 域 . 碎 片 包 和 其 
他 标志 位 (如 SYN、ACK 位 ) 等 。 

为 了 让 DMZ 区 的 应 用 服务 器 能 与 内 网 中 服务 器 通信 , 需 增加 DMZ 区 安全 规则 ,这 样 
一 个 基于 DMZ 的 安全 应 用 服务 便 配置 好 了 。 其 他 的 应 用 服务 可 根据 安全 策略 逐个 配置 。 

DMZ 无 疑 是 网 络 安全 防御 体系 中 的 重要 组 成 部 分 ,再 加 上 入 侵 检测 和 基于 主机 的 其 他 
安全 措施 ,将 极 大 地 提高 公共 服务 及 整个 系统 的 安全 性 。 


6.3 ”防火 墙 的 技术 发 展 历程 


6.3.1 第 一 代 防 火 墙 : 基于 路 由 器 的 防火 墙 


由 于 多 数 路 由 器 中 本 身 就 包含 有 分 组 过 滤 功 能 , 故 网 络 访问 控制 可 通过 路 由 控制 来 实 
现 ,从 而 使 具有 分 组 过 滤 功 能 的 路 由 器 成 为 第 一 代 防 火 墙 产 品 。 

1. 基于 路 由 器 防火 墙 的 特点 

(1) 利用 路 由 器 本 身 对 分 组 的 解析 ,以 访问 控制 表 方式 实现 对 分 组 的 过 滤 。 

(2) 过 滤 判 决 的 依据 可 以 是 IP 地 址 .端口 号 及 其 他 网 络 特征 。 

(3) 只 有 分 组 过 滤 功能 , 且 防 火 墙 与 路 由 器 是 一 体 的 ,对 安全 要 求 低 的 网 络 采用 路 由 器 
附带 防火 墙 功能 的 方法 ,对 安全 性 要 求 高 的 网 络 则 可 单独 利用 一 台 路 由 器 作为 防火 墙 。 

2. 基于 路 由 器 防火 墙 的 不 足 

(1) 本 身 具 有 安全 漏洞 ,外 部 网 络 要 探寻 内 部 网 络 十 分 容易 。 例 如 ,在 使 用 FTP 协议 
时 ,外 部 服务 器 容易 从 21 端口 上 与 内 部 网 相连 ,即使 在 路 由 器 上 设置 了 过 滤 规 则 ,内 部 网 络 
的 21 端口 仍 可 由 外 部 探寻 。 

(2) 分 组 过 滤 规 则 的 设置 和 配置 存在 安全 隐患 。 对 路 由 器 中 过 滤 规 则 的 设置 和 配置 十 
分 复杂 , 它 涉及 规则 的 逻辑 一 致 性 、 作 用 端口 的 有 效 性 和 规则 集 的 正确 性 ,一 般 的 网 络 系统 
管理 员 难 以 胜任 ,加 之 一 旦 出 现 新 的 协议 ,管理 员 就 得 加 上 更 多 的 规则 去 限制 ,这 往往 会 带 
来 很 多 错误 。 

(3) 攻击 者 可 “假冒 ”地址 ,黑客 可 以 在 网 络 上 伪造 假 的 路 由 信息 欺骗 防火 墙 。 

(4) 由 于 路 由 器 的 主要 功能 是 为 网 络 访问 提供 动态 的 .灵活 的 路 由 ,而 防火 墙 则 要 对 访 
问 行为 实施 静态 的 、 固 定 的 控制 ,这 是 一 对 难以 调和 的 矛盾 ,防火 墙 的 规则 设置 会 大 大 降低 
路 由 器 的 性 能 。 


6.3.2 第 二 代 防 火 墙 : 用 户 化 的 防火 墙 


1. 用 户 化 防火 墙 的 特点 

(1) 将 过 滤 功 能 从 路 由 器 中 独立 出 来 ,并 加 上 审计 和 告警 功能 。 

(2) 针对 用 户 需求 ,提供 模块 化 的 软件 包 。 

(3) 软件 可 通过 网 络 发 送 ,用 户 可 自己 动手 构造 防火 墙 。 

(4) 与 第 一 代 防 火 墙 相 比 ,安全 性 提高 而 价格 降低 了 。 

由 于 是 纯 软 件 产品 ,第 二 代 防 火 墙 产品 无 论 在 实现 还 是 在 维护 上 都 对 系统 管理 员 提 出 
了 相当 复杂 的 要 求 。 

2. 用 户 化 防火 墙 的 不 足 

(1) 配置 和 维护 过 程 复杂 、 费 时 。 

(2) 对 用 户 的 技术 要 求 高 。 

(3) 全 软件 实现 ,安全 性 和 处 理 速 度 均 有 局 限 。 

(4) 实践 表明 ,使 用 中 出 现 差错 的 情况 很 多 。 


6.3.3 第 三 代 防 火 墙 : 建立 在 通用 操作 系统 上 的 防火 墙 


基于 软件 的 防火 墙 在 销售 ,使 用 和 维护 上 的 问题 迫使 防火 墙 开发 商 很 快 推 出 了 建立 在 
通用 操作 系统 上 的 商用 防火 墙 产 品 ,近年 来 在 市 场 上 广泛 使 用 的 就 是 这 一 代 产 品 。 

1. 通用 操作 系统 防火 墙 的 特点 

(1) 是 批量 上 市 的 专用 防火 墙 产品 。 

(2) 包括 分 组 过 滤 或 借用 了 路 由 器 的 分 组 过 滤 功 能 。 

(3) 装 有 专用 的 代理 系统 ,监控 所 有 协议 的 数据 和 指令 。 

(4) 保护 用 户 编程 空间 和 用 户 可 配置 内 核 参 数 的 设置 。 

(5) 安全 性 和 速度 大 为 提高 。 

第 三 代 防 火 墙 有 以 纯 软 件 实现 的 ,也 有 以 硬件 方式 实现 的 。 但 随 着 安全 需求 的 变化 和 
使 用 时 间 的 推 延 , 仍 表现 出 不 少 问题 。 

2. 通用 操作 系统 防火 墙 的 不 足 

(1) 作为 基础 的 操作 系统 ,其 内 核 往往 不 为 防火 墙 管理 者 所 知 ,由 于 原 码 的 保密 ,其 安 
全 性 无 从 保证 。 

(2) 大 多 数 防火 墙 厂商 并 非 通 用 操作 系统 的 厂商 ,通用 操作 系统 厂商 不 会 对 操作 系统 
的 安全 性 负责 。 

上 述 问 题 在 基于 Windows NT 开发 的 防火 墙 产品 中 表现 得 十 分 明显 。 


6.3.4 第 四 代 防 火 墙 : 具有 安全 操作 系统 的 防火 墙 


这 是 目前 防火 墙 产 品 的 主要 发 展 趋势 。 具 有 安全 操作 系统 的 防火 墙 本 身 就 是 一 个 操作 
系统 ,因而 在 安全 性 上 较 第 三 代 防 火 墙 有 质 的 提高 。 获 得 安全 操作 系统 的 办 法 有 两 种 : 一 
种 是 通过 许可 证 方式 获得 操作 系统 的 源码 ; 另 一 种 是 通过 固化 操作 系统 内 核 来 提高 可 
靠 性 。 

安全 操作 系统 防火 墙 的 特点 : 
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(1) 防火 墙 厂 商 具 有 操作 系统 的 源 代码 ,并 可 实现 安全 内 核 。 

(2) 对 安全 内 核实 现 加 固 处 理 , 即 去 掉 不 必要 的 系统 特性 ,加 上 内 核 特 性 ,强化 安全 
保护 。 

(3) 对 每 个 服务 器 、 子 系统 都 作 了 安全 处 理 , 一 旦 黑客 攻破 了 一 个 服务 器 , 它 将 会 被 隔 
离 在 此 服务 器 内 ,不 会 对 网 络 的 其 他 部 分 构成 威胁 。 

(4) 在 功能 上 包括 了 分 组 过 滤 、 应 用 网 关 、 电 路 级 网 关 , 且 具有 加 密 与 鉴别 功能 。 

(5) 透明 性 好 ,易于 使 用 。 

上 述 阶段 的 划分 主要 以 产品 为 对 象 ,目的 在 于 对 防火 墙 的 发 展 有 一 个 总 体 勾 画 。 


6.4 防火 墙 的 分 类 


如 果 从 防火 墙 的 软 、 硬 件 形式 来 分 的 话 ,防火 墙 可 以 分 为 软件 防火 墙 和 硬件 防火 墙 两 
种 。 如 果 防 火 墙根 据 防范 的 方式 和 侧重 点 的 不 同 来 进行 分 类 ,可 分 为 三 大 类 : 包 过 滤 、 状 态 
检测 包 过 滤 、 应 用 代理 。 


6.4.1 软件 防火 墙 


软件 防火 墙 运行 于 特定 的 计算 机 上 , 它 需 要 用 户 预 先 安装 好 的 计算 机 操作 系统 的 支持 ， 
一 般 来 说 这 台 计 算 机 就 是 整个 网 络 的 网 关 。 软 件 防火 墙 就 像 其 他 的 软件 产品 一 样 需要 先 在 
计算 机 上 安装 并 做 好 配置 才 可 以 使 用 。 使 用 这 类 防火 墙 ,需要 用 户 对 所 工作 的 操作 系统 平 
台 比 较 熟 悉 。 

个 人 防火 墙 是 软件 防火 墙 中 比较 常见 的 一 种 ,可 为 个 人 计算 机 提供 简单 的 防火 墙 功 能 。 
目前 常用 的 个 人 防火 墙 有 Norton Personal Firewall、 天 网 个 人 防火 墙 、 瑞 星 个 人 防火 墙 等 。 
个 人 防火 墙 是 安装 在 个 人 PC 上 , 而 不 是 放置 在 网 络 边界 ,因此 ,个 人 防火 墙 关 心 的 不 是 一 
个 网 络 到 另外 一 个 网 络 的 安全 ,而 是 单个 主机 和 与 之 相连 接 的 主机 或 网 络 之 间 的 安全 。 

个 人 防火 墙 使 用 方便 ,配置 简单 ,但 也 具有 一 定 的 局 限 性 ,其 应 用 范围 较 小 , 且 只 支持 
Windows 系统 ,功能 相对 来 说 要 弱 很 多 ,并 且 安 全 性 和 并 发 连接 处 理 能 力 较 差 。 

作为 网 络 防 火 墙 的 软件 防火 墙 具 有 上 比 个 人 防火 墙 更 强 的 控制 功能 和 更 高 的 性 能 。 不 仅 
支持 Windows 系统 ,并 且 多 数 都 支持 UNIX 或 Linux 系统 。 如 十 分 著名 的 Check Point 
FireWall、Microsoft ISA Server 等 。 

软件 防火 墙 与 硬件 防火 墙 相 比 在 性 能 上 和 抗 攻 击 能 力 上 都 比较 弱 , 如 果 所 在 的 网 络 环 
境 中 ,攻击 频 度 不 是 很 高 ,用 软件 防火 墙 就 能 满足 要 求 。 但 如 果 是 较 大 型 的 网 络 ,就 需要 硬 
件 防火 墙 来 进行 保护 了 。 


6.4.2 包 过 滤 防 火 墙 


包 过 滤 防 火 墙 是 用 一 个 软件 查看 所 流 经 的 数据 包 的 包头 (header) ,由 此 决定 整个 包 的 
命运 。 它 可 能 会 决定 丢弃 这 个 包 , 可 能 会 接受 这 个 包 ( 让 这 个 包 通 过 ) ,也 可 能 执行 其 他 更 复 
杂 的 动作 。 

在 Linux 系统 下 , 包 过 滤 功 能 是 内 建 于 核心 的 (作为 一 个 核心 模块 ,或 者 直接 内 建 ), 同 
时 还 有 一 些 可 以 运用 于 数据 包 之 上 的 技巧 ,不 过 最 常用 的 依然 是 查看 包头 以 决定 包 的 命运 。 


包 过 滤 是 一 种 内 置 于 Linux 内 核 路 由 功能 之 上 的 防火 墙 类 型 ,其 防火 墙 工作 在 网 络 层 。 
包 过 滤 防 火 墙 的 工作 层次 如 图 6.4 所 示 。 


外 网 防火 墙 4 ”内 网 
应 用 层 应 用 层 应 用 层 
表示 层 表示 层 表示 层 
会 话 层 会 话 层 ”| 会 话 层 
传输 层 传输 层 传输 层 
网 络 层 网 络 层 网 络 层 

数据 链 路 层 数据 链 路 层 数据 链 路 层 
物理 层 物理 层 。 | 物理 层 


图 6.4 包 过 滤 防 火 墙 的 工作 层次 


1. 工作 原理 

包 过 滤 防 火 墙 的 工作 原理 可 以 分 为 以 下 几 个 方面 。 

(1) 使 用 过 滤器 。 数 据 包 过 滤 用 在 内 部 主机 和 外 部 主机 之 间 , 过 滤 系 统 是 一 台 路 由 器 
或 是 一 台 主 机 。 过 滤 系 统 根据 过 滤 规 则 来 决定 是 否 让 数据 包 通 过 。 用 于 过 滤 数 据 包 的 路 由 
器 被 称 为 过 滤 路 由 器 。 

数据 包 过 滤 是 通过 对 数据 包 的 IP 头 和 TCP 头 或 UDP 头 的 检查 来 实现 的 ,在 TCP/IP 
中 ,存在 着 一 些 标准 的 服务 端口 号 ,例如 ,HTTP 的 端口 号 为 80。 通 过 屏蔽 特定 的 端口 可 以 
禁止 特定 的 服务 。 包 过 滤 系 统 可 以 阻塞 内 部 主机 和 外 部 主机 或 另外 一 个 网 络 之 间 的 连接 ， 
例如 ,可 以 阻塞 一 些 被 视 为 是 有 敌意 的 或 不 可 信 的 主机 或 网 络 连接 到 内 部 网 络 中 。 

(2) 过 滤器 的 实现 。 数 据 包 过 滤 一 般 使 用 过 滤 路 由 器 来 实现 ,这 种 路 由 器 与 普通 的 路 
由 器 有 所 不 同 。 普 通 的 路 由 器 只 检查 数据 包 的 目标 地 址 ,并 选择 一 个 达到 目的 地 址 的 最 佳 
路 径 。 它 处 理 数据 包 是 以 目标 地 址 为 基础 的 ,存在 着 两 种 可 能 性 : 若 路 由 器 可 以 找到 一 个 
路 径 到 达 目 标 地 址 则 发 送出 去 ; 若 路 由 器 不 知道 如 何 发 送 数据 包 则 通知 数据 包 的 发 送 者 
“数据 包 不 可 达 ”。 

过 滤 路 由 器 会 更 加 仔细 地 检查 数据 包 , 除 了 决定 是 否 有 到 达 目 标 地 址 的 路 径 外 ,还 要 决 
定 是 否 应 该 发 送 数据 包 .“ 应 该 与 否 " 是 由 路 由 器 的 过 滤 策 略 决定 并 强行 执行 的 。 

(3) 包 过 滤器 操作 的 基本 过 程 , 如 图 6.5 所 示 。 

Q@ 包 过 滤 规 则 必须 被 包 过 滤 设 备 端口 存储 在 安全 策略 设置 里 。 

@ 当 包 到 达 端 口 时 ,对 包 报 头 进行 语法 分 析 。 大 多 数 包 过 滤 设 备 只 检查 IP、TCP 或 
UDP 报头 中 的 字段 。 

@ 包 过 滤 规 则 以 特殊 的 方式 存储 。 应 用 于 包 的 规则 的 顺序 与 包 过 滤器 规则 存储 顺序 
必须 相同 。 

@ 若 一 条 规则 阻止 包 传输 或 接收 , 则 此 包 便 不 符合 条 件 , 并 被 丢弃 。 

@ 若 一 条 规则 允许 包 传输 或 接收 , 则 此 包 便 符合 条 件 ,可 以 被 继续 处 理 。 

@ 符合 条 件 的 包 将 检查 路 由 信息 并 被 转发 出 去 。 
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图 6.5 包 过 滤器 操作 过 程 


2. 包 过 滤 技 术 的 优 缺 点 

1) 优点 

对 于 一 个 小 型 的 ,不 太 复杂 的 站 点 , 包 过 滤 比 较 容 易 实现 。 因 为 过 滤 路 由 器 工作 在 IP 
层 和 TCP 层 , 所 以 处 理 包 的 速度 比 代理 服务 器 快 。 

过 滤 路 由 器 为 用 户 提供 了 一 种 透明 的 服务 ,用 户 不 需要 改变 客户 端的 任何 应 用 程序 ,也 
不 需要 用 户 学 习 任 何 新 的 东西 。 因 为 过 滤 路 由 器 工作 在 IP 层 和 TCP 层 ,而 IP 层 和 TCP 
层 与 应 用 层 的 问题 毫 不 相关 。 所 以 ,过 滤 路 由 器 有 时 也 被 称 为 “ 包 过 滤 网 关 ? 或 “透明 网 关 ”。 
之 所 以 被 称 为 网 关 , 是 因为 包 过 滤 路 由 器 和 传统 路 由 器 不 同 , 它 涉及 了 传输 层 。 过 滤 路 由 器 
在 价格 上 一 般 比 代理 服务 器 便宜 。 

2) 缺点 

一 些 包 过 滤 网 关 不 支持 有 效 的 用 户 认证 。 同 时 规则 表 很 快 会 变 得 很 大 而 且 复杂 ,规则 
很 难 测试 。 随 着 表 的 增 大 和 复杂 性 的 增加 ,规则 结构 出 现 漏洞 的 可 能 性 也 会 增加 。 

这 种 防火 墙 最 大 的 缺陷 是 它 依赖 一 个 单一 的 部 件 来 保护 系统 。 如 果 这 个 部 件 出 现 了 问 
题 ,会 使 得 网 络 大 门 敞开 ,而 用 户 甚 至 可 能 还 不 知道 。 

在 一 般 情况 下 ,如 果 外 部 用 户 被 允许 访问 内 部 主机 , 则 它 就 可 以 访问 内 部 网 上 的 任何 主 
机 。 包 过 滤 防 火 墙 只 能 阻止 一 种 类 型 的 IP 欺骗 , 即 外 部 主机 伪装 内 部 主机 的 IP, 对 于 外 部 
主机 伪装 外 部 主机 的 IP 欺骗 却 不 可 能 阻止 ,而 且 它 不 能 防止 DNS 欺骗 。 

虽然 , 包 过 滤 防 火 墙 有 如 上 所 述 的 缺点 ,但 是 在 管理 良好 的 小 规模 网 络 上 , 它 能 够 正常 
地 发 挥 作 用 。 一 般 情 况 下 ,人 们 不 单独 使 用 包 过 滤 网 关 , 而 是 将 它 和 其 他 设备 (如 堡垒 主机 
等 ) 联 合 使 用 。 


6.4.3 状态 检测 防火 墙 


状态 检测 防火 墙 又 称 动态 包 过 滤 ,是 传统 包 过 滤 上 的 功能 扩展 。 状 态 检测 防火 墙 在 网 
络 层 有 一 个 检查 引擎 截获 数据 包 并 抽取 出 与 应 用 层 状 态 有 关 的 信息 ,并 以 此 为 依据 决定 对 
该 连接 是 接受 还 是 拒绝 。 这 种 技术 提供 了 高 度 安全 的 解决 方案 ,同时 具有 较 好 的 适应 性 和 
扩展 性 。 状 态 检测 防火 墙 一 般 也 包括 一 些 代理 级 的 服务 ,它们 提供 附加 的 对 特定 应 用 程序 
数据 内 容 的 支持 。 状 态 检 测 技 术 最 适合 提供 对 UDP 协议 的 有 限 支持 。 它 将 所 有 通过 防火 


墙 的 UDP 分 组 均 视 为 一 个 虚 连 接 , 当 反 向 应 答 分 组 送 达 时 ,就 认为 一 个 虚拟 连接 已 经 建 
立 。 状 态 检测 防火 墙 克 服 了 包 过 滤 防 火 墙 和 应 用 代理 服务 器 的 局 限 性 ,不 仅仅 检测 to 和 
from 的 地 址 ,而 且 不 要 求 每 个 访问 的 应 用 都 有 代理 。 

状态 检测 防火 墙 工作 于 传输 层 ,与 包 过 滤 防 火 墙 相 比 ,状态 检测 防火 墙 判断 允许 还 是 禁 
止 数据 流 的 依据 也 是 源 IP 地 址 .目的 IP 地址 、 源 端口 、 目 的 端口 和 通信 协议 等 。 与 包 过 滤 
防火 墙 不 同 的 是 ,状态 检测 防火 墙 是 基于 会 话 信 息 做 出 决策 的 ,而 不 是 包 的 信息 。 状 态 检测 
防火 墙 据 弃 了 包 过 滤 防 火 墙 仅 考察 数据 包 的 IP 地 址 等 几 个 参数 ,而 不 关心 数据 包 连 接 状 
态 变化 的 缺点 ,在 防火 墙 的 核心 部 分 建立 状态 连接 表 , 并 将 进出 网 络 的 数据 当成 一 个 个 的 会 
话 , 利 用 状态 表 跟 踪 每 一 个 会 话 状态 。 状 态 监 测 对 每 一 个 包 的 检查 不 仅 根据 规则 表 , 更 考虑 
了 数据 包 是 否 符合 会 话 所 处 的 状态 ,因此 提供 了 完整 的 对 传输 层 的 控制 能 力 。 

状态 检测 包 过 滤器 操作 的 基本 过 程 ,如 图 6.6 所 示 。 


会 话 连接 状态 缓存 表 | 符合 。 


IP 包 源 地址 /目的 地 址 入 RRNA 
TCP/UDP 源 端口 
TCP 会 话 连 接 状态 


图 6.6 状态 检测 防火 墙 的 工作 原理 


(1) 包 过 滤 规则 必须 被 存储 在 安全 策略 设置 里 。 
(2) 当 包 到 达 端 口 时 ,对 包 报头 进行 语法 分 析 。 同 时 在 会 话 连接 状态 缓存 表 中 保持 一 


个 状态 。 
(3) 数据 包 还 要 和 会 话 连接 状态 缓存 表 中 的 会 话 所 处 的 状态 进行 对 比 , 符 合 规则 的 才 
算 检测 通过 。 


(4) 若 一 条 规则 阻止 包 传输 或 接收 , 则 此 包 便 不 符合 条 件 ,并 被 丢弃 。 
(5) 若 一 条 规则 允许 包 传输 或 接收 , 则 此 包 便 符合 条 件 ,可 以 被 继续 处 理 。 
(6) 符合 条 件 的 包 将 检查 路 由 信息 并 被 转发 出 去 。 


6.4.4 应 用 代理 网 关 防 火 墙 


应 用 代理 网 关 防 火 墙 彻底 隔断 内 网 与 外 网 的 直接 通信 ,内 网 用 户 对 外 网 的 访问 变 成 防 
火 墙 对 外 网 的 访问 ,然后 再 由 防火 墙 转发 给 内 网 用 户 。 所 有 通信 都 必须 经 应 用 层 代 理 软件 
转发 ,访问 者 任何 时 候 都 不 能 与 服务 器 建立 直接 的 TCP 连接 ,应 用 层 的 协议 会 话 过 程 必须 
符合 代理 的 安全 策略 要 求 。 代 理 网 关 防 火 墙 工作 在 应 用 层 , 如 图 6. 7 所 示 。 

应 用 代理 网 关 的 优点 是 可 以 检查 应 用 层 、 传 输 层 和 网 络 层 的 协议 特征 ,对 数据 包 的 检测 
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图 6.7 应 用 代理 网 关 防 火 墙 的 工作 层次 


能 力 比 较 强 。 

应 用 代理 网 关 的 缺点 主要 有 : 

(1) 难于 配置 。 由 于 每 个 应 用 都 要 求 单独 的 代理 进程 ,这 就 要 求 网 管 能 理解 每 项 应 用 
协议 的 弱点 ,并 能 合理 地 配置 安全 策略 ,由 于 配置 烦琐 ,难于 理解 ,容易 出 现 配 置 失误 ,最 终 
影响 内 网 的 安全 防范 能 力 。 

(2) 处 理 速度 非 常 慢 。 断 掉 所 有 的 连接 ,由 防火 墙 重 新 建立 连接 ,理论 上 可 以 使 应 用 代 
理 防 火 墙 具有 极 高 的 安全 性 。 但 是 实际 应 用 中 并 不 可 行 , 因 为 对 于 内 网 的 每 个 Web 访问 请 
求 , 应 用 代理 都 需要 开 一 个 单独 的 代理 进程 , 它 要 保护 内 网 的 Web 服务 器 .数据库 服务 器 、 
文件 服务 器 .邮件 服务 器 ,及 业务 程序 等 ,就 需要 建立 一 个 个 的 服务 代理 ,以 处 理 客户 端的 访 
问 请 求 。 这 样 ,应 用 代理 的 处 理 延 迟 会 很 大 ,内 网 用 户 的 正常 Web 访问 不 能 及 时 得 到 响应 。 

总 之 ,应 用 代理 防火 墙 不 能 支持 大 规模 的 并 发 连接 ,在 对 速度 敏感 的 行业 使 用 这 类 防火 
墙 时 简直 是 灾难 。 另 外 ,防火 墙 核心 要 求 预先 内 置 一些 已 知 应 用 程序 的 代理 ,使 得 一 些 新 出 
现 的 应 用 在 代理 防火 墙 内 被 无 情 地 阻 断 ,不 能 很 好 地 支持 新 应 用 。 

在 IT 领域 中 ,新 应 用 、 新 技术 、 新 协议 层出不穷 ,代理 防火 墙 很 难 适应 这 种 局 面 。 因 
此 ,在 一 些 重 要 的 领域 和 行业 的 核心 业务 应 用 中 ,代理 防火 墙 正 被 逐渐 疏远 。 

但 是 , 自 适应 代理 技术 的 出 现 让 应 用 代理 防火 墙 技术 出 现 了 新 的 转机 , 它 结合 了 代理 防 
火 墙 的 安全 性 和 包 过 滤 防 火 墙 的 高 速度 等 优点 ,在 不 损失 安全 性 的 基础 上 将 代理 防火 墙 的 
性 能 提高 了 10 倍 。 


6.5 防火 墙 硬件 平台 的 发 展 


6.5.1 X86 平台 


X86 是 一 个 Intel 通用 计算 机 系列 的 标准 编号 缩写 ,也 标识 一 套 通用 的 计算 机 指令 集 
合 ,X 与 处 理 器 没有 任何 关系 , 它 是 一 个 对 所 有 X86 系统 的 简单 的 通配符 定义 ,例如 386、 
586 奔腾 。 由 于 早期 Intel 的 CPU 编号 都 是 如 8086、80286 来 编号 ,整个 系列 的 CPU 都 是 
指令 兼容 的 ,所 以 都 用 X86 来 标识 所 使 用 的 指令 集合 ,如 今 的 奔腾 、 赛 扬 系列 都 是 支持 X86 
指令 系统 的 ,所 以 都 属于 X86 家 族 。 


X86 指令 集 是 美国 Intel 公司 为 其 第 一 块 16 位 CPU(i8086) 专 门 开 发 的 。 美国 IBM 公 
司 1981 年 推出 的 世界 第 一 台 PC 中 的 CPU 使 用 的 也 是 X86 指令 ,同时 计算 机 中 为 提高 浮 
点 数据 处 理 能 力 而 增加 的 X87 芯片 系列 数学 协 处 理 器 则 另外 使 用 X87 指令 ,以 后 就 将 X86 
指令 集 和 X87 指令 集 统称 为 X86 指令 集 。 虽 然 随 着 CPU 技术 的 不 断 发 展 ,Intel 陆续 研制 
出 更 新 型 的 i180386 .i80486 直到 今天 的 Pentium 4( 以 下 简 为 P4) 系 列 ,但 为 了 保证 计算 机 能 
继续 运行 以 往 开发 的 各 类 应 用 程序 以 保护 和 继承 丰富 的 软件 资源 ,Intel 公司 所 生产 的 所 有 
CPU 仍然 继续 使 用 X86 指令 集 , 它 的 CPU 仍 属于 X86 系列 。 

另外 除 Intel 公司 之 外 ,AMD 和 Cyrix 等 厂家 也 相继 生产 出 能 使 用 X86 指令 集 的 
CPU, 由 于 这 些 CPU 能 运行 所 有 的 为 Intel CPU 所 开发 的 各 种 软件 ,计算 机 业内 人 士 就 将 
这 些 CPU 列 为 Intel 的 CPU 兼容 产品 。 由 于 Intel X86 系列 及 其 兼容 CPU 都 使 用 X86 指 
令 集 , 所 以 就 形成 了 今天 庞大 的 X86 系列 及 兼容 CPU 阵容 。 

最 初 的 硬件 防火 墙 都 是 基于 X86 架构 的 。X86 架构 采用 通用 CPU 和 PCI 总 线 接口 ， 
具有 很 高 的 灵活 性 和 可 扩展 性 ,过 去 一 直 是 防火 墙 开 发 的 主要 平台 。 其 具有 开发 .设计 门槛 
低 ,技术 成 熟 等 优点 ,曾经 以 其 高 灵活 性 和 扩展 性 在 百 兆 防火 墙 上 获得 过 巨大 的 成 功 。 但 
是 ,缺陷 也 是 显而易见 的 ,由 于 X86 架构 的 硬件 并 非 为 了 网 络 数据 传输 而 设计 , 它 对 数据 包 
的 转发 性 能 相对 较 弱 ,无 法 适应 日 益 增长 的 网 络 性 能 要 求 。 

由 于 国内 安全 厂商 并 不 掌握 X86 架构 的 核心 技术 ,其 BIOS 中 存在 着 隐藏 的 漏洞 ,有 可 
能 影响 防火 墙 的 安全 可 靠 性 。 而 且 X86 的 产业 链条 非常 复杂 ,国内 厂商 在 其 中 能 发 挥 的 影 
响 力 很 有 限 , 不 利于 国内 信息 安全 产业 的 长 期 发 展 。 


6.5.2 ASIC 平台 


目前 ,在 集成 电路 界 ,ASIC(Application Specific Integrated Circuit ,专用 集成 电路 ) 被 
认为 是 一 种 为 专门 目的 而 设计 的 集成 电路 ,是 指 应 特定 用 户 要 求 和 特定 电子 系统 的 需要 而 
设计 、 制 造 的 集成 电路 。ASIC 的 特点 是 面向 特定 用 户 的 需求 ,ASIC 在 批量 生产 时 与 通用 
集成 电路 相 比 具有 体积 更 小 、 功 耗 更 低 、 可 靠 性 提高 .性 能 提高 .保密 性 增强 、 成 本 降低 等 
优点 。 

ASIC 分 为 全 定制 和 半 定 制 。 全 定制 设计 需要 设计 者 完成 所 有 电路 的 设计 ,因此 需要 
大 量 人 力 物力 ,灵活 性 好 但 开发 效率 低下 。 如 果 设 计较 为 理想 ,全 定制 能 够 比 半 定 制 的 
ASIC 芯片 运行 速度 更 快 。 半 定制 使 用 库 里 的 标准 逻辑 单元 ,设计 时 可 以 从 标准 逻辑 单元 
库 中 选择 SSI( 门 电路 ) .MSI( 如 加 法 器 、 比 较 器 等 ) .数据 通路 (如 ALU、 存 储 器 ,总 线 等 ) . 存 
储 器 甚至 系统 级 模块 (如 乘法 器 、 微 控制 器 等 ) 和 IP 核 , 这 些 逻 辑 单元 已 经 布局 完毕 ,而 且 设 
计 得 较为 可 靠 , 设 计 者 可 以 较 方便 地 完成 系统 设计 。 

相 比 之 下 ,ASIC 防火 墙 通过 专门 设计 的 ASIC 芯片 逻辑 进行 硬件 加 速 处 理 。ASIC 通 
过 把 指令 或 计算 逻辑 固化 到 芯片 中 ,获得 了 很 高 的 处 理 能 力 , 因 而 明显 提升 了 防火 墙 的 性 
能 。 新 一 代 的 高 可 编程 ASIC 采用 了 更 灵活 的 设计 ,能够 通过 软件 改变 应 用 逻辑 ,具有 更 广 
泛 的 适应 能 力 。 但 是 ,ASIC 的 缺点 也 同样 明显 , 它 的 灵活 性 和 扩展 性 不 够 ,开发 费用 高 ， 
发 周期 太 长 ,一 般 耗 时 接近 2 年 。 

虽然 研发 成 本 较 高 ,灵活 性 受 限制 ,无 法 支持 太 多 的 功能 ,但 其 性 能 具有 先天 的 优势 , 非 
常 适合 应 用 于 模式 简单 、 对 吞吐 量 和 时 延 指标 要 求 较 高 的 电信 级 大 流量 的 处 理 。 目 前 ， 
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NetScreen 在 ASIC 防火 墙 领域 占有 优势 地 位 ,而 我 国 的 首 信也 推出 了 我 国 基于 自主 技术 的 
ASIC 千 兆 防火 墙 产 品 。 


6.5.3 NP 平台 


NP(Network Processor, 网 络 处 理 器 )。 根 据 国际 网 络 处 理 器 会 议 的 定义 : 网 络 处 理 器 
是 一 种 可 编程 器 件 , 它 特定 地 应 用 于 通信 和 领域 的 各 种 任务 ,比如 包 处 理 、 协 议 分析 、 路 由 查 
找 . 防 火 墙 \QoS 等 。 

网 络 处 理 器 器 件 内 部 通常 由 若干 个 微 码 处 理 器 和 若干 硬件 协 处 理 器 组 成 , 且 多 个 微 码 
处 理 器 在 NP 内 部 并 行 处 理 , 通 过 预先 编制 的 微 码 来 控制 处 理 流程 。 对 于 某 些 复杂 的 标准 
操作 ,如 内 存 操作 .路 由 表 查 找 算法 .QoS 的 拥塞 控制 算法 .流量 调度 算法 等 , 则 采用 硬件 协 
处 理 器 来 进一步 提高 处 理性 能 ,从 而 实现 了 业务 灵活 性 和 高 性 能 的 有 机 结合 。 

目前 NP 主要 用 于 网 络 骨 干 设备 和 网 络 接 入 设备 ,用 来 开发 从 网 络 第 2 层 到 第 7 层 的 
各 种 服务 和 应 用 。 目 前 ,采用 NP 处 理 分 组 交换 的 厂家 , 既 有 第 一 梯队 的 网 络 公司 ,如 思科 、 
北 电 和 朗讯 等 ,也 有 不 少 后 起 之 秀 , 如 华为 中兴、 港湾 等 。 

哪 种 NP 技术 更 适合 防火 墙 ,我 们 不 难 了 解 ,由 于 各 厂商 所 专注 的 NP 技术 领域 不 同 ， 
决定 了 NP 产品 之 间 的 差异 。 目 前 ,国内 多 数 安全 厂商 在 NP 技术 上 大 都 选择 了 IBM 或 
Intel 的 NP 技术 。 其 实 , 具 体 选用 哪 种 NP 技术 开发 防火 墙 ,因素 有 很 多 ,包括 所 选 NP 技 
术 的 性 能 和 成 熟 度 .提供 NP 技术 的 厂商 实力 和 重视 程度 ,以 及 NP 技术 厂商 可 提供 的 支持 
力度 及 价格 。 

IBM 研发 的 Power NP 系列 芯片 不 仅 支持 多 线程 , 且 每 个 线程 都 有 充足 的 指令 空间 ,在 
一 个 线程 里 完成 防火 墙 功能 绰绰有余 。 其 系列 产品 中 ,以 NP4GS3 为 代表 ,该 芯片 最 高 端 
口 速率 可 达 OC-48(2488. 32Mb/s) ,并 具有 4. 5Mbys 的 报 文 处 理 能 力 和 最 大 4GB 的 端口 容 
量 , 并 且 , 其 拥有 IBM 创新 的 带宽 分 配 技术 (BAT) ,是 进行 下 一 代 系 统 设 计 的 强大 部 件 。 而 
且 ,IBM 还 为 开发 者 提供 了 软件 架构 的 解决 方案 和 仿真 平台 ,大 大 缩短 了 开发 难度 和 周期 。 
目前 ,已 经 有 不 少 厂 家 采用 IBM 的 芯片 开发 高 端 防火 墙 产 品 , 如 联想 网 御 于 2003 年 10 月 
推出 了 国内 第 一 款 基 于 NP 技术 的 千 兆 线 速 防火 墙 ， 2005 年 ,在 解决 了 多 项 基于 多 NP 协 
同 工 作 的 技术 难题 的 基础 上 ,联想 网 御 成 功 推出 了 万 兆 级 的 超 性 能 防火 墙 。 

Intel 推出 的 IXP2000 系列 芯片 支持 微 码 开发 ,在 性 能 上 有 了 长 足 的 提高 ,如 IXP2400 
理论 上 最 多 可 支持 2. 5Gb/s 的 应 用 ,IXP2800 则 支持 10Gb/s 以 上 的 应 用 。 其 SDK 开发 包 
一 般 功 能 十 分 齐全 ,模块 化 很 好 ,便于 开发 人 员 控 制 。 不 足 的 是 ,IXP2400 每 个 微 引擎 仅 能 
存储 32X4Kb 的 指令 ,比较 适合 开发 路 由 器 和 交换 机 这 类 产品 ; IXP2800 每 个 微 引 擎 能 存 
储 32X8Kb 位 的 指令 ,基本 可 以 满足 防火 墙 功 能 开发 的 需要 ,但 是 ,由 于 其 性 能 提高 带 来 了 
产品 设计 与 应 用 复杂 度 的 成 倍 提高 ,造成 价格 十 分 昂贵 。 此 外 ,该 系列 产品 的 硬件 查 表 功 能 
比较 弱 , 这 对 于 防火 墙 这 类 需要 大 量 查 表 操 作 的 设备 来 讲 ,是 致命 的 弱点 。 

随 着 新 一 代 网 络 的 继续 发 展 , NP 将 更 加 倚重 线 速 .智能 化 的 包 处 理 技术 ,而 不 仅仅 是 
简单 的 基本 性 能 ,NP 技术 的 发 展 将 直接 影响 到 NP 防火 墙 的 发 展 。 据 业内 专家 调查 分 析 ， 
NP 技术 将 向 着 更 高 的 性 能 、 更 多 功能 支持 、 多 种 技术 并 存 和 标准 化 等 特征 发 展 ,基于 NP 的 
防火 墙 产品 将 随 着 NP 的 发 展 大 步 前 行 。 

五 年 来 ,网 络 的 传输 速度 每 年 翻 一 番 , 几 年 前 的 主干 网 速度 是 155Mb/s, 现 在 已 经 到 了 


10Gb/s, 两 到 三 年 内 又 会 提高 到 40Gb/s, 网 络 处 理 器 也 必须 满足 这 种 变化 。NP 性 能 的 提 
高 ,将 直接 推动 防火 墙 性 能 的 提高 。 

随 着 网 络 处 理 器 在 更 多 领域 中 的 应 用 ,网 络 处 理 器 必须 具有 更 多 的 功能 支持 ,如 深度 内 
容 处 理 和 IPv6 协议 识别 ,以 能 适应 防火 墙 等 安全 设备 的 需求 。 

NP 不 是 万 能 的 , 它 并 不 会 完全 取代 通用 处 理 器 和 ASIC 在 网 络 设备 中 的 应 用 。 在 对 处 
理性 能 需求 很 高 的 高 端 设备 中 ,ASIC 仍然 具有 很 强 的 生命 力 , 可 以 预见 的 是 ,在 数据 层面 、 
控制 层面 和 管理 层 , 通 用 处 理 器 .NP 和 ASIC 将 各 司 其 职 ,共同 为 防火 墙 应 用 提供 灵活 的 
服务 。 

总 之 ,防火 墙 技术 与 NP 技术 开始 紧密 地 联系 在 一 起 ,NP 技术 的 变革 将 推动 防火 墙 技 
术 向 着 更 高 性 能 .更 多 功能 以 及 标准 化 的 方向 发 展 。 


6.6 防火 墙 关 键 技术 


6.6.1 访问 控制 


访问 控制 是 策略 和 机 制 的 集合 , 它 允 许 对 限定 资源 的 授权 访问 。 它 也 可 保护 资源 ,防止 
那些 无 权 访问 资源 的 用 户 的 恶意 访问 或 偶然 访问 。 然 而 , 它 无 法 阻止 被 授权 组 织 的 故意 
破坏 。 

按 用 户 身份 及 其 所 归属 的 某 预定 义 组 来 限制 用 户 对 某 些 信息 项 的 访问 ,或 限制 对 某 些 
控制 功能 的 使 用 。 访 问 控制 通常 用 于 系统 管理 员 控 制 用 户 对 服务 器 .目录 文件 等 网 络 资源 
的 访问 。 访 问 控制 机 制 决定 用 户 及 代表 一 定 用 户 利益 的 程序 能 做 什么 ,以 及 做 到 什么 程度 。 

访问 控制 是 信息 安全 保障 机 制 的 核心 内 容 , 它 是 实现 数据 保密 性 和 完整 性 机 制 的 主要 
手段 。 它 是 对 信息 系统 资源 进行 保护 的 重要 措施 ,也 是 计算 机 系统 中 最 重要 和 最 基础 的 安 
全 机 制 。 访 问 控制 包括 3 个 要 素 , 即 主体 、 客 体 和 控制 策略 。 

(1) 主体 (subject) : 是 可 以 对 其 他 实体 施加 动作 的 主动 实体 ,有 时 也 称 为 用 户 或 访问 
者 (被 授权 使 用 计算 机 的 人 员 )。 主 体 的 含义 是 广泛 的 ,可 以 是 用 户 所 在 的 组 织 、 用 户 本 身 ， 
也 可 以 是 用 户 使 用 的 计算 机 终端 \ 卡 机 ,手持 终端 (无 线 ) 等 ,甚至 可 以 是 应 用 服务 程序 或 
进程 。 

(2) 客体 (object) : 是 接受 其 他 实体 访问 的 被 动 实体 。 客 体 的 概念 也 很 广泛 ,凡是 可 以 
被 操作 的 信息 ,资源 对象 都 可 以 认为 是 客体 。 在 信息 社会 中 ,客体 可 以 是 信息 文件 .记录 
等 的 集合 体 , 也 可 以 是 网 络 上 的 硬件 设施 .无线 通信 中 的 终端 ,甚至 一 个 客体 可 以 包含 另外 
一 个 客体 。 

(3) 控制 策略 : 是 主体 对 客体 的 操作 行为 集合 约束 条 件 集 。 简 单 讲 , 控 制 策略 是 主体 
对 客体 的 访问 规则 集 , 这 个 规则 集 直接 定义 了 主体 对 客体 的 作用 行为 和 客体 对 主体 的 条 件 
约束 。 访 问 策略 体现 了 一 种 授权 行为 ,也 就 是 客体 对 主体 的 权限 允许 ,这 种 允许 不 超越 规 
则 集 。 

防火 墙 上 应 用 的 访问 控制 技术 是 网 络 安全 防范 和 保护 的 主要 核心 策略 , 它 的 主要 任务 
是 保证 网 络 资源 不 被 非法 使 用 和 访问 。 访 问 控制 规定 了 主体 对 客体 访问 的 限制 ,并 在 身份 
识别 的 基础 上 ,根据 身份 对 提出 资源 访问 的 请 求 加 以 控制 。 网 络 访问 控制 技术 是 对 网 络 信 
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息 系统 资源 进行 保护 的 重要 措施 ,也 是 计算 机 系统 中 最 重要 和 最 基础 的 安全 机 制 。 
6.6.2 网 络 地 址 转换 


网 络 地 址 转换 (NAT) 被 广泛 应 用 于 各 种 类 型 Internet 接 入 方式 和 备 种 类 型 的 网 络 中 。 
原因 很 简单 ,NAT 不 仅 完美 地 解决 了 IP 地 址 不 足 的 问题 ,而 且 还 能 够 有 效 地 避免 来 自 网 络 
外 部 的 攻击 ,隐藏 并 保护 网 络 内 部 的 计算 机 。 

虽然 NAT 可 以 借助 于 某 些 代理 服务 器 来 实现 ,但 考虑 到 运算 成 本 和 网 络 性 能 ,很 多 时 
修 都 是 在 路 由 器 和 防火 墙 上 来 实现 的 。 

随 着 接 入 Internet 的 计算 机 数量 的 不 断 猛 增 ,IP 地 址 资源 也 就 愈加 显得 捉襟见肘 。 事 
实 上 ,除了 中 国教 育 网 (CERNET) 外 ,一 般 用 户 几 乎 申请 不 到 整 段 的 C 类 IP 地 址 。 在 其 他 
ISP 那里 ,即使 是 拥有 几 百 台 计 算 机 的 大 型 局 域 网 用 户 , 当 他 们 申请 IP 地 址 时 ,所 分 配 的 地 
址 也 不 过 只 有 几 个 或 十 几 个 IP 地址 。 显 然 ,这样 少 的 IP 地 址 根本 无 法 满足 网 络 用户 的 需 
求 , 于 是 也 就 产生 了 NAT 技术 。 

借助 于 NAT, 私 有 (保留 ) 地 址 的 内 部 网 络 通过 防火 墙 发 送 数 据 包 时 ,私有 地 址 被 转换 
成 合法 的 IP 地 址 ,一 个 局 域 网 只 需 使 用 少量 IP 地 址 (甚至 是 1 个 ) 即 可 实现 私有 地 址 网 络 
内 所 有 计算 机 与 Internet 的 通信 需 

NAT 将 自动 修改 IP 报 文 头 的 源 IP 地 址 和 目的 IP 地 址 ,IP 地 址 校 验 则 在 NAT 处 理 
过 程 中 自动 完成 。 有 些 应 用 程序 将 源 IP 地 址 嵌入 到 IP 报 文 的 数据 部 分 中 ,所 以 还 需要 同 
时 对 报 文 进行 修改 ,以 匹配 IP 头 中 已 经 修改 过 的 源 IP 地 址 。 否 则 ,在 报 文 数据 都 分 别 租 入 
IP 地 址 的 应 用 程序 就 不 能 正常 工作 。 

NAT 的 实现 方式 有 以 下 三 种 , 即 静 态 转换 (static nat) 动态 转换 (dynamic nat) 和 端口 
地 址 转换 (Port Address Translation,PAT)。 

(1) 静态 转换 是 指 将 内 部 网 络 的 私有 IP 地 址 转换 为 公有 IP 地 址 ,IP 地 址 对 是 一 对 一 
的 ,是 一 成 不 变 的 , 某 个 私有 IP 地址 只 转换 为 某 个 公有 IP 地 址 。 借 助 于 静态 转换 ,可 以 实 
现 外 部 网 络 对 内 部 网 络 中 某 些 特定 设备 (如 服务 器 ) 的 访问 。 

(2) 动态 转换 是 指 将 内 部 网 络 的 私有 IP 地 址 转换 为 公用 IP 地 址 时 ,IP 地 址 对 不 是 确 
定 的 ,而 是 随机 的 ,所 有 被 授权 访问 Internet 的 私有 IP 地 址 可 随机 转换 为 任何 指定 的 合法 
IP 地 址 。 也 就 是 说 ,只 要 指定 哪些 内 部 地 址 可 以 进行 转换 ,以 及 用 哪些 合法 地 址 作为 外 部 
地 址 时 ,就 可 以 进行 动态 转换 。 动 态 转换 可 以 使 用 多 个 合法 外 部 地 址 集 。 当 ISP 提供 的 合 
法 IP 地 址 略 少 于 网 络 内 部 的 计算 机 数量 时 。 可 以 采用 动态 转换 的 方式 。 

(3) 六 旧地 址 筑 次 年 指 以 要 外 由 开奖 包 的 潜 并 章法 行 澡 昌 转 失 。 采用 端口 地 址 转换 
方式 时 ,内 部 网 络 的 所 有 主机 均 可 共享 一 个 合法 外 部 IP 地 址 实现 对 Internet 的 访问 ,从 而 
可 以 最 大 限度 地 节约 IP 地 址 资源 。 i 又 可 隐藏 网 络 内 部 的 所 有 主机 ,有 效 避 免 来 自 
Internet 的 攻击 。 因 此 ,目前 网 络 中 应 用 最 多 的 就 是 端口 地 址 转换 方式 。 

在 配置 网 络 地址 转换 的 过 程 之 前 ,首先 必须 搞 清 楚 内 部 接口 和 外 部 接口 ,以 及 在 哪 
个 外 部 接口 上 启用 NAT。 通 常情 况 下 ,连接 到 用 户 内 部 网 络 的 接口 是 NAT 内 部 接口 ， 
而 连接 到 外 部 网 络 (如 Internet) 的 接口 是 NAT 外 部 接口 。 在 网 络 中 的 具体 配置 如 图 6. 8 
所 示 。 
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图 6.8 NAT 的 配置 


6.6.3 虚拟 专用 网 


顾名思义 ,虚拟 专用 网 (Virtual Private Network,VPN) 是 虚拟 出 来 的 企业 内 部 专线 网 
络 。 它 可 以 通过 特殊 的 加 密 的 通信 协议 在 Internet 上 的 位 于 不 同 地 方 的 两 个 或 多 个 企业 内 
部 网 之 间 建 立 一 条 专 有 的 通信 线路 ,就 好 比 是 架设 了 一 条 专线 一 样 ,但 是 它 并 不 需要 真正 地 
去 铺设 光线 之 类 的 物理 线路 。 在 网 络 中 的 实现 如 图 6. 9 所 示 。 这 就 好 比 去 电信 局 申请 到 了 
专线 ,但 是 不 用 给 铺设 线路 的 费用 ,也 不 用 购买 路 由 器 等 硬件 设备 。VPN 技术 原 是 路 由 器 
具有 的 重要 技术 之 一 ,目前 在 交换 机 、 防 火 墙 设备 或 Windows 2003 等 软件 里 也 都 支持 
VPN 功能 ,一 句 话 ,VPN 的 核心 就 是 在 利用 公共 网 络 建立 虚拟 私有 网 (在 第 8 章 中 会 详细 
说 明 ) 。 
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图 6.9 VPN 的 实现 


课 后 习题 


选择 题 
1. 一 个 数据 包 过 滤 系 统 被 设计 成 允许 你 要 求 服务 的 数据 包 进入 ,而 过 滤 掉 不 必要 的 服 
务 。 这 属于 ( ”) 基 本 原则 。 


击 中 油 


防火 雯 拉 术 


网 络 安 会 与 管理 


A. 最 小 特权 B. 阻塞 点 C. 失效 保护 状态 D. 防御 多 样 化 
2. 针对 数据 包 过 滤 和 应 用 网 关 技术 存在 的 缺点 而 引入 的 防火 墙 技术 ,这 是 ( 。 ”) 防 火 


墙 的 特点 。 
A. 包 过 滤 型 B. 应 用 级 网 关 型 
C. 复合 型 防火 墙 D. 代理 服务 型 
3. 不 属于 传统 防火 墙 的 类 型 有 (  ”)。 
A. 包 过 滤 B. 远程 磁盘 镜像 技术 
C. 电路 层 网 关 D. 应 用 层 网 关 
4. 在 防火 墙 技 术 中 ,内 网 这 一 概念 通常 指 的 是 (  )。 
A. 受信 网 络 B. 非 受信 网 络 
C. 防火 墙 内 的 网 络 D. 互联 网 
5。Internet 接 入 控制 不 能 对 付 以 下 哪 类 入 侵 者 ? (  ) 
A. 伪装 者 B. 违法 者 
C. 内 部 用 户 D. 外 部 用 户 
填空 题 
1. 新 型 防火 墙 的 设计 目标 是 既 有 ( ) 的 功能 ,又 能 在 ( ) 进 行 代理 ,能 从 链 路 层 
到 应 用 层 进行 全 方位 安全 处 理 。 


2. 防火 墙 只 对 符合 安全 策略 的 通信 通过 ,也 可 以 说 具有 ( ) 性 。 
3. DMZ 是 英文 DeMilitarized Zone 的 缩写 ,中 文 名 称 为 ( ) ,也 称 ( 5 
4. DMZ 在 ( ) 和 ( ) 之 间 构 造 了 一 个 安全 地 带 。 
5. 第 一 代 防 火 墙 是 基于 ( ) 的 防火 墙 , 第 二 代 防 火 墙 是 ( ) 的 防火 墙 ,第 三 代 防 
火 墙 是 ( ) 的 防火 墙 ,第 四 代 防 火 墙 是 ( ) 的 防火 墙 。 
6. NAT 的 实现 方式 有 三 种 , 即 ( jx ) 和 ( Ns 
a ) 防 火 墙 彻 底 隔 断 内 网 与 外 网 的 直接 通信 ,内 网 用 户 对 外 网 的 访问 变 成 防火 墙 
对 外 网 的 访问 ,然后 再 由 防火 墙 转发 给 内 网 用 户 。 
简 答 题 
. 防火 墙 的 主要 功能 是 什么 ? 
. 防火 墙 的 基本 特性 有 哪些 ? 
. 防火 墙 能 做 什么 ? 
. DMZ 网 络 访问 控制 策略 有 哪些 ? 
. 防火 墙 不 能 做 什么 ? 
. 防火 墙 的 种 类 有 哪些 ? 
. 包 过 滤 防 火 墙 的 工作 原理 是 什么 ? 
. 包 过 滤 技 术 的 优 缺点 有 哪些 ? 
. 防火 墙 硬件 平台 有 哪些 种 类 ? 各 自 的 特点 是 什么 ? 
10. 你 所 知道 的 防火 墙 品牌 有 哪些 ? 
11. 应 用 代理 防火 墙 是 怎样 工作 的 ? 
12. 访问 控制 的 功能 主要 有 哪些 ? 
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第 7 章 入 侵 检测 系统 


7.1 入 侵 检 测 系 统 是 什么 


计算 机 安全 的 三 大 中 心目 标 是 : 保密 性 、 完 整 性 、 可 用 性 。 人 们 在 实现 这 些 目 标的 过 程 
中 不 断 进行 着 探索 和 研究 。 其 中 比较 突出 的 技术 有 身份 认证 与 识别 ,访问 控制 机 制 、 加 密 技 
术 、 防 火 墙 技 术 等 。 但 是 这 些 技 术 的 一 个 共同 特征 就 是 集中 在 系统 的 自身 加 固 和 防护 上 , 属 
于 静态 的 安全 防御 技术 , 它 对 于 网 络 环境 下 日 新 月 异 的 攻击 手段 缺乏 主动 的 反应 。 针 对 日 
益 严 重 的 网 络 安全 问题 和 越 来 越 突 出 的 安全 需求 , 自 适应 网 络 安全 技术 (动态 安全 技术 ) 和 
动态 安全 模型 应 运 而 生 。 

入 侵 检 测 作为 动态 安全 技术 的 核心 技术 之 一 ,是 防火 墙 的 合理 补充 ,帮助 系统 对 付 网 络 
攻击 ,扩展 了 系统 管理 员 的 安全 管理 能 力 (包括 安全 审计 ,监视 .进攻 识别 和 响应 ) ,提高 了 信 
息 安全 基础 结构 的 完整 性 ,是 安全 防御 体系 的 一 个 重要 组 成 部 分 。 

入 侵 检 测 系 统 (Intrusion-Detection System,IDS) 是 一 种 对 网 络 传输 进行 即时 监视 ,在 
发 现 可 疑 传 输 时 发 出 警报 或 者 采取 主动 反应 措施 的 网 络 安全 设备 。 它 与 其 他 网 络 安全 设备 
的 不 同 之 处 在 于 ,IDS 是 一 种 积极 主动 的 安全 防护 技术 。IDS 最 早出 现在 1980 年 4 月 。 该 
年 ,James P. Anderson 为 美国 空军 做 了 一 份 题 为 “Computer Security Threat Monitoring 
and Surveillance”( 计 算 机 安全 威胁 监控 与 监视 ) 的 技术 报告 ,提出 审计 记录 可 用 于 检测 计算 
机 误 用 行为 的 思想 ,在 其 中 他 提出 了 IDS 的 概念 ,这 可 谓 是 开创 了 入 侵 检测 的 先河 。20 世 
纪 80 年 代 中 期 ,IDS 逐渐 发 展 成 为 人 侵 检 测 专家 系统 (IDES)。 男 一 位 对 入 侵 检 测 同 样 起 
着 开创 作用 的 人 就 是 Dorothy E. Denning, 他 在 1987 年 的 一 篇 论文 中 提出 了 实时 入 侵 检测 
系统 模型 ,此 模型 成 为 后 来 的 入侵 检测 研究 和 系统 原型 的 基础 。1990 年 ,IDS 分 化 为 基于 
网 络 的 IDS 和 基于 主机 的 IDS。 后 又 出 现 分 布 式 IDS。 目 前 ,IDS 发 展 迅 速 ,已 有 人 宣称 
IDS 可 以 取代 防火 墙 。 

假如 防火 墙 是 一 幢 大 楼 的 保安 ,那么 IDS 就 是 这 幢 大 楼 里 的 监控 系统 。 一 旦 小 偷 候 窗 
进入 大 楼 ,或 内 部 人 员 有 越界 行为 ,只 有 实时 监视 系统 才能 发 现 情况 并 发 出 警告 ,如 图 7. 1 
所 示 。 

早期 的 入侵 检测 系统 是 基于 主机 的 系统 , 它 是 通过 监视 和 分 析 主 机 的 审计 记录 来 检测 
入 侵 的。 另外 , 入 侵 检测 发 展 史 上 又 一 个 具有 重要 意义 的 里 程 碑 就 是 NSM (Network 
Security Monitor, 网 络 安 全 监视 器 ) 的 出 现 , 它 是 由 L. Todd Heberlien 在 1990 年 提出 的 。 
NSM 与 此 前 的 入 侵 检 测 系 统 相 比 ,其 最 大 的 不 同 在 于 它 并 不 检查 主机 系统 的 审计 记录 ,而 
是 通过 监视 网 络 的 信息 流量 来 跟踪 可 疑 的 入 侵 行 为 。 从 此 ,入 侵 检测 的 研究 和 开发 旦 现 一 
股 热潮 ,而 且 多 学 科 多 领域 之 间 知识 的 交互 使 得 入 侵 检测 的 研究 异彩 纷呈 。 


摄像 机 = 检测 引擎 


保安 = 防火 墙 
图 7.1 理解 人 侵 检测 系统 


由 于 入 侵 检测 系统 的 市 场 在 近 几 年 中 飞速 发 展 ,许多 公司 投入 到 这 一 领域 中 来 。 
Venustech( 启 明星 辰 ) Internet Security System(ISS) 思科、 赛 门 铁 克 等 公司 都 推出 了 自 
己 的 产品 。 


7.2 入 侵 检 测 基本 原理 


从 计算 机 安全 的 目标 来 看 ,入 侵 的 定义 是 : 企图 破坏 资源 的 完整 性 、 保 密 性 、 可 用 性 的 
任何 行为 ,也 指 违背 系统 安全 策略 的 任何 事件 。 入 侵 行为 不 仅仅 是 指 来 自 外 部 的 攻击 ,同时 
内 部 用 户 的 未 授权 行为 也 是 一 个 重要 的 方面 ,有 时 内 部 人 员 滥 用 他 们 特权 的 攻击 是 系统 安 
全 的 最 大 隐患 。 从 入侵 策略 的 角度 来 看 ,入 侵 可 分 为 企图 进入 .冒充 其 他 合法 用 户 ` 成 功 冶 
入 、 合 法 用 户 的 泄露 .拒绝 服务 以 及 恶意 使 用 等 几 个 方面 。 

和 人 侵 检测 就 是 通过 从 计算 机 网 络 或 计算 机 系统 中 若干 关键 点 收集 信息 并 对 其 进行 分 
析 , 从 中 发 现 网 络 或 系统 中 是 否 有 违反 安全 策略 的 行为 和 遭 到 攻击 的 迹象 ,同时 做 出 响应 。 
从 上 述 的 定义 可 以 看 出 ,入 侵 检 测 的 一 般 过 程 是 : 信息 收集 ,信息 (数据 ) 预 处 理 、 数 据 的 检 
测 分 析 、 根 据 安全 策略 做 出 响应 ,如 图 7.2 所 示 。 


- i 时 本 安全 策略 
nl 
| 已: | 理 型 全 理 


图 7.2 入 侵 检 测 的 一 般 过 程 


其 中 ,信息 源 是 指 包含 有 最 原始 的 入侵 行为 信息 的 数据 ,主要 是 网 络 、 系 统 的 审计 数据 
或 原始 的 网 络 数据 包 。 数 据 预 处 理 是 指 对 收集 到 的 数据 进行 预 处 理 , 将 其 转化 为 检测 模型 
所 接受 的 数据 格式 ,也 包括 对 宛 余 信 息 的 去 除 , 即 数据 简约 。 这 是 入 侵 检测 研究 领域 的 关 
键 , 也 是 难点 之 一 。 检 测 模型 是 指 根据 各 种 检测 算法 建立 起 来 的 检测 分 析 模 型 , 它 的 输入 一 
般 是 经 过 数据 预 处 理 后 的 数据 ,输出 为 对 数据 属性 的 判断 结果 ,数据 属性 一 般 是 针对 数据 中 


包含 的 入 侵 信息 的 断言 。 

检测 结果 即 检测 模型 输出 的 结果 ,由 于 单一 的 检测 模型 的 检测 率 不 理想 ,往往 需要 利用 
多 个 检测 模型 进行 并 行 分 析 处 理 , 然 后 对 这 些 检测 结果 进行 数据 融合 处 理 , 以 达到 满意 的 效 
果 。 安 全 策略 是 指 根据 安全 需求 设置 的 策略 。 响 应 处 理 主要 是 指 综合 安全 策略 和 检测 结果 
所 作出 的 响应 过 程 , 包 括 产 生 检 测报 告 .通知 管理 员 ,. 断 开 网 络 连接 或 更 改 防 火 墙 的 配置 等 
积极 的 防御 措施 。 

入 侵 检 测 系 统 就 其 最 基本 的 形式 来 讲 ,可 以 说 是 一 个 分 类 器 , 它 是 根据 系统 的 安全 策略 
来 对 收集 到 的 事件 或 状态 信息 进行 分 类 处 理 ,从 而 判断 出 入 侵 和 非 信 侵 的 行为 的 。 

一 般 来 说 ,入 侵 检测 系统 在 功能 结构 上 是 基本 一 致 的 , 均 由 数据 采集 、 数 据 分 析 以 及 响 
应 部 件 等 几 个 功能 模块 组 成 ,只 是 具体 的 人 侵 检测 系统 在 采集 数据 ,采集 数据 的 类 型 以 及 分 
析 数 据 的 方法 等 方面 有 所 不 同 而 已 。 但 是 由 于 入 侵 技术 手段 的 不 断 变化 ,使 得 入 侵 检 测 系 
统 必须 能 够 维护 一 些 与 检测 系统 的 分 析 技 术 相 关 的 信息 ,以 使 检测 系统 能 够 确保 检测 出 对 
系统 具有 威胁 的 恶意 事件 。 

显然 ,入 侵 检测 系统 完善 了 以 前 的 静态 安全 防御 技术 的 诸多 不 足 , 是 对 防火 墙 的 合理 补 
充 , 为 计算 机 网 络 、 系 统 的 安全 防护 提供 了 新 的 解决 方案 。 


7.3 入 侵 检 测 系 统 分 类 


人 侵 检 测 系统 作为 动态 安全 防御 技术 的 应 用 实例 ,是 继 防 火 墙 之 后 的 第 二 道 安全 防线 ， 
它 的 运用 将 大 大 提高 系统 安全 防护 水 平 。 入 侵 检测 系统 的 分 类 有 多 种 ,这 里 主要 介绍 两 种 : 
一 种 是 根据 入 侵 检 测 系统 的 输入 数据 来 源 分 类 ; 另 一 种 是 根据 入 侵 检 测 系统 所 采用 的 技术 
分 类 。 


7.3.1 按 数据 来 源 分 类 


由 于 入侵 检测 是 个 典型 的 数据 处 理 过 程 ,因而 数据 采集 是 其 第 一 步 。 同 时 ,针对 不 同 的 
数据 类 型 ,所 采用 的 分 析 机 理 也 是 不 一 样 的 。 根 据 入 侵 检测 系统 输入 数据 的 来 源 来 看 , 它 可 
分 为 基于 主机 的 入 侵 检测 系统 和 基于 网 络 的 入 侵 检测 系统 。 

1. 基于 主机 (host-based) 的 人 侵 检测 系统 

基于 主机 的 入 侵 检测 系统 (HIDS) 通 常 以 系统 日 志 、 应 用 程序 日 志 等 审计 记录 文件 作为 
数据 源 。 它 是 通过 比较 这 些 审计 记录 文件 的 记录 与 攻击 签名 (attack signature, 指 用 一 种 特 
定 的 方式 来 表示 已 知 的 攻击 模式 ) 以 发 现 它们 是 否 匹 配 。 如 果 匹 配 , 检 测 系统 就 向 系统 管理 
员 发 出 入 侵 报警 并 采取 相应 的 行动 。 基 于 主机 的 IDS 可 以 精确 地 判断 入 侵 事 件 , 并 可 对 入 
侵 事件 作出 立即 反应 。 它 还 可 针对 不 同 操作 系统 的 特点 判断 出 应 用 层 的 入 侵 事件 。 

由 于 审计 数据 是 收集 系统 用 户 行为 信息 的 主要 方法 ,因而 必须 保证 系统 的 审计 数据 不 
被 修改 。 但 是 , 当 系 统 遭 到 攻击 时 ,这 些 数据 很 可 能 被 修改 。 这 就 要 求 基 于 主机 的 入 侵 检 测 
系统 必须 满足 一 个 重要 的 实时 性 条 件 : 检测 系统 必须 在 攻击 者 完全 控制 系统 并 更 改 审计 数 
据 之 前 完成 对 审计 数据 的 分 析 \ 产 生 报警 并 采取 相应 的 措施 。 早 期 的 入 侵 检测 系统 大 多 都 
是 基于 主机 的 IDS, 作 为 人 侵 检测 系统 的 一 大 重要 类 型 , 它 具 有 明显 的 优点 : 

(1) 能 够 确定 攻击 是 否 成 功 。 由 于 基于 主机 的 IDS 使 用 包含 有 确实 已 经 发 生 的 事件 信 
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息 的 日 志文 件 作为 数据 源 , 因 而 比 基 于 网 络 的 IDS 更 能 准确 地 判断 出 攻击 是 否 成 功 。 在 这 
一 点 上 ,基于 主机 的 IDS 可 谓 是 基于 网 络 的 IDS 的 完美 补充 。 

(2) 非常 适合 于 加 密 和 交换 环境 。 由 于 基于 网 络 的 IDS 是 以 网 络 数据 包 作为 数据 源 ， 
因而 对 于 加 密 环 境 来 讲 , 它 是 无 能 为 力 的 ,但 对 于 基于 主机 的 IDS 就 不 同 了 ,因为 所 有 的 加 
密 数 据 在 到 达 主 机 之 前 必须 被 解密 ,这 样 才能 被 操作 系统 所 解析 。 对 于 交换 网 络 来 讲 , 基 于 
网 络 的 IDS 在 获取 网 络 流量 上 面临 着 很 大 的 挑战 ,但 基于 主机 的 IDS 就 没有 这 方面 的 限制 。 

(3) 近乎 实时 的 检测 和 响应 。 基 于 主机 的 IDS 不 能 提供 真正 的 实时 响应 ,但 是 由 于 现 
有 的 基于 主机 的 IDS 大 多 采取 的 是 在 日 志文 件 形成 的 同时 获取 审计 数据 信息 ,因而 就 为 实 
时 的 检测 和 响应 提供 了 可 能 。 

(4) 不 需要 额外 的 硬件 。 基 于 主机 的 IDS 是 驻 留 在 现 有 的 网 络 基 础 设施 之 上 的 ,包括 
文件 服务 器 、Web 服务 器 和 其 他 共享 资源 等 ,这 样 就 减少 了 基于 主机 的 IDS 的 实施 成 本 。 
因为 不 再 需要 增加 新 的 硬件 ,所 以 也 就 减少 了 以 后 维护 和 管理 这 些 硬件 设备 的 负担 。 

(5) 可 监视 特定 的 系统 行为 。 基 于 主机 的 IDS 可 以 监视 用 户 和 文件 的 访问 活动 ,这 包 
括 文件 访问 .文件 权限 的 改变 .试图 建立 新 的 可 执行 文件 和 试图 访问 特权 服务 等 。 例 如 , 基 
于 主机 的 IDS 可 以 监视 所 有 的 用 户 登录 及 注销 情况 ,以 及 每 个 用 户 连接 到 网 络 以 后 的 行 
为 。 而 基于 网 络 的 IDS 就 很 难 做 到 这 一 点 。 基 于 主机 的 IDS 还 可 以 监视 通常 只 有 管理 员 
才能 实施 的 行为 ,因为 操作 系统 记录 了 任何 有 关 用 户 账号 的 添加 、 删 除 、 更 改 的 情况 ,一 旦 发 
生 了 更 改 , 基 于 主机 的 IDS 就 能 检测 到 这 种 不 适当 的 更 改 。 基 于 主机 的 IDS 还 可 以 跟踪 影 
响 系 统 日 志 记 录 的 策略 的 变化 。 

(6) 基于 主机 的 IDS 可 以 监视 关键 系统 文件 和 可 执行 文件 的 更 改 。 试 图 对 关键 的 系统 
文件 进行 覆盖 或 试图 安装 特洛伊 木马 或 后 门 程 序 的 操作 都 可 被 检测 出 并 被 终止 ,而 基于 网 
络 的 IDS 有 时 就 做 不 到 这 一 点 。 

除了 上 述 的 优点 外 ,基于 主机 的 IDS 也 存在 一 些 不 足 : 会 占用 主机 的 系统 资源 ,增加 系 
统 负荷 ,而 且 针对 不 同 的 操作 系统 必须 开发 出 不 同 的 应 用 程序 ,另外 ,所 需 配 置 的 IDS 数量 
众多 。 但 是 对 系统 内 在 的 结构 没有 任何 的 约束 ,同时 可 以 利用 操作 系统 本 身 提供 的 功能 ,并 
结合 异常 检测 分 析 , 更 能 准确 地 报告 攻击 行为 。 

2. 基于 网 络 的 人 侵 检 测 系统 

基于 网 络 的 入 侵 检 测 系统 (NIDS) 以 原始 的 网 络 数据 包 作 为 数据 源 。 它 是 利用 网 络 适 
配器 来 实时 地 监视 并 分 析 通 过 网 络 进行 传输 的 所 有 通信 业务 的 。 一 旦 检测 到 攻击 ,IDS 的 
响应 模块 通过 通知 .报警 以 及 中 断 连接 等 方式 来 对 攻击 行为 作出 反应 。 作 为 入 侵 检 测 发 展 
史上 的 一 个 里 程 碑 , 基 于 网 络 的 IDS 是 在 网 络 迅速 发 展 、 攻 击 手段 日 趋 复杂 的 情况 下 出 现 
的 新 产物 , 它 以 其 独特 的 技术 手段 在 入 侵 检测 的 舞台 上 扮演 着 不 可 或 缺 的 角色 。 较 之 于 基 
于 主机 的 IDS, 它 有 着 自身 明显 的 优势 : 

(1) 攻击 者 转移 证 据 更 困难 ,基于 网 络 的 IDS 使 用 正在 发 生 的 网 络 通信 进行 实时 攻击 
的 检测 ,因此 攻击 者 无 法 转移 证 据 , 被 检测 系统 捕获 到 的 数据 不 仅 包括 攻击 方法 ,而 且 包括 
对 识别 和 指控 入 侵 者 十 分 有 用 的 信息 。 由 于 很 多 黑客 对 审计 日 志 很 了 解 ,因而 他 们 知道 怎 
样 更 改 这 些 文件 以 藏匿 他 们 的 入 侵 踪迹 ,而 基于 主机 的 IDS 往往 需要 这 些 原始 的 未 被 修改 
的 信息 来 进行 检测 ,在 这 一 点 上 ,基于 网 络 的 IDS 有 着 明显 的 优势 。 

(2) 实时 检测 和 应 答 ,一 旦 发 生 恶意 的 访问 或 攻击 ,基于 网 络 的 IDS 可 以 随时 发 现 它 


们 ,以 便 能 够 更 快 地 作出 反应 。 这 种 实时 性 使 得 系统 可 以 根据 预先 的 设置 迅速 采取 相应 的 
行动 ,从 而 将 入 侵 行 为 对 系统 的 破坏 减 到 最 低 , 而 基于 主机 的 IDS 只 有 在 可 疑 的 日 志文 件 
产生 后 才能 判断 攻击 行为 ,这 时 往往 对 系统 的 破坏 已 经 产生 了 。 

(3) 能 够 检测 到 未 成 功 的 攻击 企图 ,有 些 攻 击 行为 是 旨 在 针对 防火 墙 后 面 的 资源 的 攻 
击 ( 防 火 墙 本 身 可 能 会 拒绝 这 些 攻击 企图 ), 利 用 放置 在 防火 墙 外 的 基于 网 络 的 IDS 就 可 以 
检测 到 这 种 企图 ,而 基于 主机 的 IDS 并 不 能 发 现 未 能 到 达 受 防火 墙 保护 的 主机 的 攻击 企 
图 。 通 常 , 这 些 信息 对 于 评估 和 改进 系统 的 安全 策略 是 十 分 重要 的 。 

(4) 操作 系统 无 关 性 ,基于 网 络 的 IDS 并 不 依赖 主机 的 操作 系统 作为 检测 资源 ,这 样 就 
与 主机 的 操作 系统 无 关 , 而 基于 主机 的 系统 需要 依赖 特定 的 操作 系统 才能 发 挥 作 用 。 

(5) 较 低 的 成 本 ,基于 网 络 的 IDS 允许 部 署 在 一 个 或 多 个 关键 访问 点 来 检查 所 有 经 过 
的 网 络 通信 ,因此 ,基于 网 络 的 IDS 系统 并 不 需要 在 各 种 各 样 的 主机 上 进行 安装 ,大 大 减少 
了 安全 和 管理 的 复杂 性 ,这 样 所 需 的 成 本 费用 也 就 相对 较 低 。 

当然 ,对 于 基于 网 络 的 IDS 来 讲 , 同 样 有 着 一 定 的 不 足 : 它 只 能 监视 通过 本 网 段 的 活 
动 ,并 且 精 确 度 较 差 , 在 交换 网 络 环 境 中 难于 配置 , 防 欺骗 的 能 力 比 较 差 , 对 于 加 密 环境 它 就 
更 是 无 能 为 力 了 。 

3. 分 布 式 的 人 侵 检测 系统 

从 以 上 对 基于 主机 的 IDS 和 基于 网 络 的 IDS 的 分 析 可 以 看 出 : 这 两 者 各 自 都 有 着 自身 
独到 的 优势 ,而 且 在 某 些 方面 是 很 好 的 互补 。 如 果 采 用 这 两 者 结合 的 入 侵 检测 系统 , 那 将 是 
汲取 了 各 自 的 长 处 ,又 弥补 了 各 自 的 不 足 的 一 种 优化 设计 方案 。 通 常 ,这 样 的 系统 一 般 为 分 
布 式 结构 ,由 多 个 部 件 组 成 , 它 能 同时 分 析 来 自主 机 系统 的 审计 数据 及 来 自 网 络 的 数据 通信 
流量 信息 。 分 布 式 的 IDS 是 目前 人 们 研究 的 重点 , 它 是 一 种 相对 完善 的 体系 结构 ,为 日 趋 
复杂 的 网 络 环境 下 的 安全 策略 的 实现 提供 了 最 佳 的 解决 对 策 。 


7.3.2 按 分 析 技 术 分 类 


从 和 人 侵 检测 的 典型 实现 过 程 可 以 看 出 ,数据 分 析 是 入 侵 检测 系统 的 核心 , 它 是 能 否 检测 
出 和 人 侵 行 为 的 关键 。 检 测 率 是 人 们 关注 的 焦点 ,不 同 的 分 析 技 术 所 体现 的 分 析 机 制 也 是 不 
一 样 的 ,从 而 对 数据 分 析 得 到 的 结果 当然 也 就 大 不 相同 ,而 且 不 同 的 分 析 技 术 对 不 同 的 数据 
环境 的 适用 性 也 不 一 样 。 根 据 入 侵 检测 系统 所 采用 的 分 析 技 术 来 看 , 它 可 以 分 为 采用 异常 
检测 的 入 侵 检测 系统 和 采用 误 用 检测 的 入 侵 检 测 系统 。 

1. 异常 检测 (anomaly detection ) 

异常 检测 也 被 称 为 基于 行为 的 检测 。 其 基本 前 提 是 : 假定 所 有 的 入 侵 行为 都 是 异常 
的 , 即 信 侵 行为 是 异常 行为 的 子 集 。 原 理 是 : 首先 建立 系统 或 用 户 的 “正常 ”行为 特征 轮廓 ， 
通过 比较 当前 的 系统 或 用 户 的 行为 是 否 偏离 
正常 的 行为 特征 轮廓 来 判断 是 否 发 生 了 入 侵 
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检测 的 。 从 这 个 意义 上 来 讲 ,异常 检测 是 一 种 > 
间接 的 方法 。 图 7. 3 是 典型 的 异常 检测 系统 动态 产生 新 
示意 图 。 的 行为 特征 

从 异常 检测 的 原理 可 以 看 出 ,该 方法 的 技 图 7.3 典型 的 异常 检测 系统 
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术 难 点 在 于 :正常 ”行为 特征 轮廓 的 确定 ,特征 量 的 选取 、 特 征 轮廓 的 更 新 。 由 于 这 几 个 因 
素 的 制约 ,异常 检测 的 虚 警 率 会 很 高 ,但 对 于 未 知 的 入侵 行为 的 检测 非常 有 效 , 同 时 它 也 是 
检测 冒充 合法 用 户 的 入侵 行为 的 有 效 方法 。 此 外 ,由 于 需要 实时 地 建立 和 更 新 系统 或 用 户 
的 特征 轮廓 ,因而 所 需 的 计算 量 很 大 ,对 系统 的 处 理性 能 要 求 也 很 高 。 

2. 误 用 检测 (misuse detection) 

误 用 检测 也 被 称 为 基于 知识 的 检测 。 其 基本 前 提 是 : 假定 所 有 可 能 的 入 侵 行为 都 能 被 
识别 和 表示 。 原 理 是 : 首先 对 已 知 的 攻击 方法 进行 攻击 签名 (攻击 签名 是 指 用 一 种 特定 的 
方式 来 表示 已 知 的 攻击 模式 ) 表 示 ,然后 根据 已 经 定义 好 的 攻击 签名 ,通过 判断 这 些 攻击 签 
名 是 否 出 现 来 判断 入侵 行为 的 发 生 与 否 。 这 种 方法 是 通过 直接 判断 攻击 签名 的 出 现 与 否 来 
判断 入 侵 行为 的 ,从 这 一 点 来 看 , 它 是 一 种 直接 的 方法 。 图 7.4 是 典型 的 误 用 检测 系统 示 
意图 。 

同样 , 误 用 检测 也 存在 着 影响 检测 性 能 的 


Te 关键 问题 ,攻击 签名 的 正确 表示 。 误 用 检测 

证 到 | 系统 正常 的 et) 是 根据 攻击 签名 来 判断 入 侵 的 ,那么 如 何 有 效 
行为 特征 | 匹配 特征 地 根据 对 已 知 的 攻击 方法 的 了 解 ,用 特定 的 模 

时 间 信 息 | 添加 新 式 语言 来 表示 这 种 攻击 , 即 攻击 签名 的 表示 将 

的 规则 是 该 方法 的 关键 所 在 ,尤其 是 攻击 签名 必须 能 

图 7.4 典型 的 误 用 检测 系统 够 准确 地 表示 入 侵 行为 及 其 所 有 可 能 的 变种 ， 


同时 又 不 会 把 非 入 侵 行为 包含 进来 。 

由 于 很 大 一 部 分 的 入 侵 行为 利用 的 是 系统 的 漏洞 和 应 用 程序 的 缺陷 ,因而 通过 分 析 攻 
击 过 程 的 特征 、 条 件 、 排 列 以 及 事件 间 的 关系 ,就 可 具体 描述 入 侵 行 为 的 迹象 。 这 些 迹象 不 
仅 对 分 析 已 经 发 生 的 入 侵 行为 有 帮助 .而 且 对 即将 发 生 的 入 侵 行为 也 有 预警 作用 ,因为 只 要 
部 分 满足 这 些 人 侵 迹 象 就 意味 着 可 能 有 人 侵 行为 的 发 生 。 

误 用 检测 是 通过 将 收集 到 的 信息 与 已 知 的 攻击 签名 模式 库 进 行 比较 ,从 而 发 现 违背 安 
全 策略 的 行为 。 因 此 , 它 只 需 收 集 相 关 的 数据 ,这 样 系统 的 负担 就 明显 减少 了 。 该 方法 类 似 
于 病毒 检测 系统 ,其 检测 的 准确 率 和 效率 都 比较 高 ,而 且 这 种 技术 比较 成 熟 ,国际 上 一 些 顶 
尖 的 入 侵 检 测 系 统 都 采用 的 该 方法 ,如 Cisco 的 NetRanger IIS 的 Real Secure 以 及 Axent 
公司 的 IntruderAlert 等 。 但 是 其 检测 的 完备 性 则 依赖 于 攻击 签名 知识 库 的 不 断 更 新 和 补 
充 。 另 外 , 误 用 检测 是 通过 匹配 模式 库 来 完成 检测 过 程 的 ,所 以 在 计算 处 理 上 对 系统 的 要 求 
不 是 很 高 。 

通常 ,这 里 所 能 检测 到 的 入 侵 行为 往往 是 利用 操作 系统 的 缺陷 、 应 用 软件 的 缺陷 或 网 络 
协议 实现 上 的 缺陷 等 来 实施 的 。 误 用 检测 通过 检测 那些 与 已 知 的 入 侵 行为 模式 类 似 的 行为 
或 间接 地 违背 系统 安全 策略 的 行为 ,来 识别 系统 中 的 入 侵 活动 。 使 用 这 种 技术 的 人 侵 检测 
系统 ,可 以 避免 系统 以 后 青 次 遭受 同样 的 入 侵 攻 击 行为 ,而 且 系 统 安 全 管理 员 能 够 很 容易 地 
知道 系统 遭受 到 了 哪 种 攻击 ,并 采取 相应 的 行动 。 但 是 ,知识 库 的 维护 需要 对 系统 中 的 每 一 
个 缺陷 都 要 进行 详细 的 分 析 , 这 不 仅 是 一 个 耗 时 的 工作 ,而且 关于 攻击 的 知识 依赖 于 操作 系 
统 、 软 件 的 版 本 、 硬 件 平台 以 及 系统 中 运行 的 应 用 程序 等 。 

3. 采用 两 种 技术 混合 的 人 侵 检测 

入 侵 检 测 的 两 种 最 常用 技术 在 实现 机 理 、 处 理 机 制 上 存在 明显 的 不 同 ,而且 各 自 都 有 着 


自身 无 法 逾越 的 障碍 ,使 得 各 自 都 有 着 某 种 不 足 。 但 是 采用 这 两 种 技术 混合 的 方案 ,将 是 一 
种 理想 的 选择 ,这 样 可 以 做 到 优势 互补 。 


7.4 ”入侵 检测 系统 模型 


比较 有 影响 的 入 侵 检 测 系统 模型 有 : CIDF 模型 .Denning 的 通用 入 侵 检 测 系 统 模型 。 
其 中 ,CIDF 模型 是 在 对 入 侵 检 测 系统 进行 规范 化 的 进程 中 提出 的 ,也 是 逐渐 被 入 侵 检 测 领 
域 所 采纳 的 模型 ， Denning 的 通用 入 侵 检 测 系统 模型 作为 人 侵 检测 发 展 历程 中 颇具 影响 力 
的 实例 ,给 入 侵 检测 领域 的 研究 带 来 了 相当 重要 的 启示 。 现 在 ,很 多 的 入侵 检测 系统 研究 原 
型 都 是 基于 这 两 个 模型 的 ,所 以 对 其 作 一 介绍 。 


7.4.1 入 侵 检 测 系统 的 CIDF 模型 


CIDF 模型 是 由 CIDF(Common Intrusion Detection Framework) 工 作 组 提出 的 。CIDF 
工作 组 是 由 Teresa Lunt 发 起 的 ,专门 从 事 对 入 侵 检测 系统 进行 标准 化 的 研究 机 构 。 它 主 
要 研究 的 是 入 侵 检 测 系统 的 通用 结构 、 入 侵 检测 系统 各 组 件 间 的 通信 接口 问题 ,通用 入 侵 描 
述 语言 以 及 不 同人 侵 检测 系统 间 通 信 问 题 等 关于 入 侵 检测 的 规范 化 问题 。 

山 了 一 个 | 和 

CIDF 提出 了 一 个 人 侵 检测 系统 的 通用 模型 ~ 


(如 图 7.5 所 示 ), 它 将 人 侵 检测 系统 分 为 以 下 几 ’ | 

个 单元 。 事件 分 析 器 事件 数据 库 
(1) 事件 产生 器 (event generators), 即 检测 事件 产生 器 

器 , 它 从 整个 计算 环境 中 获得 事件 ,并 向 系统 的 

其 他 部 分 提供 此 事件 ; 原始 数据 源 
(2) 事件 分 析 器 (event analyzers) ,分 析 得 到 图 7.5 CIDF 模型 

的 数据 ,并 产生 分 析 结 果 ; 


(3) 响应 单元 (response units) ,对 分 析 结 果 作出 反应 的 功能 单元 , 它 可 以 作出 切断 连 
接 改变 文件 属性 等 反应 ,甚至 发 动 对 攻击 者 的 反击 ,也 可 以 只 是 简单 的 报警 ; 

(4) 事件 数据 库 (event databases) ,存放 各 种 中 间 和 最 终 数据 的 地 方 的 总 称 , 它 可 以 是 
复杂 的 数据 库 , 也 可 以 是 简单 的 文本 文件 。 各 功能 单元 间 的 数据 交换 采用 的 是 CISL 语言 。 

CIDF 模型 给 出 了 入 侵 检测 系统 的 一 个 基本 框架 。 一 般 地 ,入 侵 检测 系统 由 这 些 功能 
模块 组 成 。 在 具体 实现 上 ,由 于 各 种 网 络 环境 的 差异 以 及 安全 需求 的 不 同 , 因 而 在 实际 的 结 
构 上 存在 一 定 程度 的 差别 。 


7.4.2 Denning 的 通用 入 侵 检 测 系 统 模型 


Dorothy E. Denning 于 1987 年 提出 了 一 个 通用 的 入 侵 检 测 模型 (如 图 7. 6 所 示 )。 该 
模型 由 以 下 6 个 主要 部 分 组 成 : 主体 客体、 审计 记录 、 行 为 轮廓 .异常 记录 及 活动 规则 。 

在 该 模型 中 ,主体 是 指 目标 系统 上 活动 的 实体 ,通常 指 的 是 用 户 , 也 可 能 是 代表 用 户 行 
为 的 系统 进程 ,或 者 是 系统 自身 。 主 体 的 所 有 行为 都 是 通过 命令 来 实现 的 。 客 体 是 指 系统 
资源 ,如 文件 .命令 .设备 等 。 它 是 主体 行为 的 接受 者 。 主 体 和 客体 没有 明显 的 界限 ,往往 在 
某 一 环境 下 的 主体 在 另 一 环境 下 则 会 成 为 客体 。 
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图 7.6 Denning 模型 


审计 记录 是 指 主体 对 客体 进行 操作 而 在 目标 系统 上 产生 的 记录 ,如 用 户 的 登录 、 命 令 的 
执行 文件 的 访问 等 都 会 在 系统 中 产生 相应 的 记录 。 它 是 由 “主体 、 活 动 、 客 体 、 异 常 条 件 、 资 
源 使 用 状况 .时间 截 ” 构 成 的 六 元 组 。 其 中 ,活动 是 指 主体 对 客体 的 操作 ,如 登录 、 退 出 、 读 、 
写 等 ; 异常 条 件 是 指 主 体 活动 出 现 异常 情况 时 系统 的 状态 ; 资源 使 用 状况 是 指 系统 的 资源 
消耗 情况 ; 时 间 崔 是 指 活动 发 生 的 时 间 。 

行为 轮廓 是 描述 主体 对 客体 正常 行为 的 模型 , 它 包 含有 系统 正常 活动 的 各 种 相关 信息 。 
异常 记录 是 指 当 系 统 检测 到 异常 行为 时 产生 的 记录 ,由 事件 .时 间 戳 .行为 轮廓 组 成 。 活 动 
规则 是 指 系统 判断 是 否 是 入 侵 的 准则 ,以 及 当 满 足 入 侵 条 件 时 ,系统 所 采取 的 相应 的 对 策 。 

这 个 模型 是 个 典型 的 异常 检测 的 实现 原型 ,对 入 侵 检测 的 研究 起 着 相当 重要 的 推动 作 
用 。SRI 的 NIDES 的 异常 检测 器 就 是 基于 该 模型 的 。 


7.5 分 布 式 入 侵 检 测 系 统 


一 方面 ,由 于 网 络 环境 的 分 布 性 和 开放 性 ,使 得 我 们 要 保护 的 目标 主机 和 网 络 在 数量 和 
层次 上 将 不 再 局 限 在 很 有 限 的 范围 内 ,而 且 不 断 发 展 的 网 络 技术 使 得 攻击 手段 也 在 不 断 推 
陈 出 新 ,这 样 , 对 入 侵 行 为 的 检测 将 面临 更 大 的 挑战 。 另 一 方面 ,单一 机 制 的 入 侵 检测 系统 
存在 着 自身 难以 克服 的 缺陷 ,无 法 满足 日 益 苛 刻 的 安全 需求 。 这 使 得 人 们 在 深入 研究 的 同 
时 不 得 不 另辟蹊径 。 分 布 式 人 侵 检测 系统 就 是 这 一 时 期 的 产物 , 它 的 出 现 为 人 们 提供 了 新 
的 安全 解决 方案 。 

分 布 式 入 侵 检 测 系统 是 采用 基于 主机 的 和 基于 网 络 的 入 侵 检 测 系统 相 结合 的 综合 方 
案 , 这 样 既 可 以 克服 基于 主机 的 入 侵 检 测 系统 和 基于 网 络 的 人 侵 检 测 系统 的 各 自 不 足 ,又 可 
以 充分 发 挥 它们 各 自 的 优势 ,从 而 实现 对 被 保护 目标 的 最 佳 防护 。 图 7. 7 是 分 布 式 入 侵 检 
测 系统 的 组 成 框图 。 

由 图 7.7 可 以 看 出 ,该 系统 的 主要 功能 部 件 有 网 络 引擎 .主机 代理 、 分 析 系 统 、 管 理 控制 
系统 .存储 系 统 、 响 应 系统 等 。 网 络 引擎 主要 是 从 网 络 流量 中 获取 原始 数据 包 , 并 对 其 进行 
预 处 理 ,并 将 预 处 理 后 的 数据 发 送 给 分 析 系 统 ; 主机 代理 则 是 从 受 保护 的 主机 系统 获取 审 
计数 据 , 并 对 其 进行 预 处 理 , 将 处 理 过 的 数据 送 往 分 析 系统 ; 分 析 系统 对 预 处 理 后 的 数据 进 
行 分 析 , 根 据 不 同 的 数据 特点 建立 相应 的 检测 模型 , 即 采用 不 同 的 检测 算法 对 数据 进行 分 析 
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1 和 T 
人 
1 1 
1 | 分析 系 统 | 1 -一 控制 信息 交互 
1 1 


网 络 引 擎 主机 代理 


图 7.7 分 布 式 人 侵 检 测 系统 组 成 框图 


处 理 , 并 将 分 析 结 果 送 到 管理 控制 系统 ; 管理 控制 系统 是 整个 系统 同 用 户 交互 的 窗口 , 它 提 
供 各 种 管理 控制 信息 ,并 协调 其 他 部 件 的 工作 ; 存储 系统 是 用 来 对 各 种 结果 进行 存储 的 地 
方 ,并 提供 灵活 的 数据 维护 、 处 理 和 查询 服务 ,同时 也 是 一 个 安全 的 日 志 系 统 ; 响应 系统 则 
是 对 确认 的 入 侵 行为 采取 相应 措施 的 子 系统 。 从 所 采用 的 技术 角度 来 看 ,分 布 式 入 侵 检测 
系统 的 检测 机 制 是 误 用 检测 和 异常 检测 并 举 的 方案 。 

一 个 典型 的 分 布 式 入 侵 检测 系统 在 实际 网 络 环境 下 的 部 署 如 图 7.8 所 示 。 在 图 7.8 
中 ,防火 墙 内 外 都 设置 了 网 络 引擎 ,这 样 就 可 以 充分 利用 基于 网 络 的 IDS 的 优点 ,实时 地 进 
行 攻击 企图 的 识别 ,并 可 将 其 阻 断 在 防火 墙 之 外 。 同 时 ,还 可 监控 透 过 防火 墙 的 攻击 行为 
为 及 时 地 更 新 防火 墙 的 配置 提供 依据 。 对 于 主机 代理 的 设置 则 是 要 根据 具体 的 安全 防护 策 
略 来 进行 。 这 样 ,就 可 以 最 大 限度 地 发 挥 不 同类 型 的 IDS 的 优势 ,实现 对 被 保护 网 络 的 最 
大 安全 化 。 
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图 7.8 分 布 式 人 侵 检 测 系统 在 实际 网 络 环境 下 的 部 署 


7.6 入 侵 检测 技术 的 发 展 趋势 


随 着 入 侵 检 测 技 术 的 发 展 ,成 型 的 产品 已 陆续 应 用 到 实践 中 。 人 们 在 完善 原 有 技术 的 
基础 上 ,又 在 研究 新 的 检测 方法 ,如 数据 融合 技术 、 主 动 的 自主 代理 方法 、 智 能 技术 以 及 免疫 
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学 原理 的 应 用 等 。 其 主要 的 发 展 方向 可 概括 为 : 

(1) 大 规模 分 布 式 人 侵 检测 。 传 统 的 入侵 检测 技术 一 般 只 局 限于 单一 的 主机 或 网 络 框 
架 , 显 然 不 能 适应 大 规模 网 络 的 监测 ,不同 的 入 侵 检测 系统 之 间 也 不 能 协同 工作 。 因 此 , 必 
须发 展 大 规模 的 分 布 式 人 侵 检 测 技术 。 

(2) 宽带 高 速 网 络 的 实时 和 人 侵 检测 技术 。 大 量 高 速 网 络 的 不 断 涌现 ,各 种 宽带 接 和 人 手 
段 层 出 不 穷 ,如 何 实现 高 速 网 络 下 的 实时 入 侵 检测 成 为 一 个 现实 的 问题 。 

(3) 入 侵 检测 的 数据 融合 技术 。 目 前 的 IDS 还 存在 着 很 多 缺陷 。 首 先 , 目 前 的 技术 还 
不 能 对 付 训 练 有 素 的 黑客 的 复杂 攻击 。 其 次 ,系统 的 虚 警 率 太 高 。 最 后 ,系统 对 大 量 的 数据 
处 理 , 非 但 无 助 于 解决 问题 ,还 降低 了 处 理 能 力 。 数 据 融合 技术 是 解决 这 一 系列 问题 的 好 
方法 。 

(4) 与 网 络 安全 技术 相 结合 ,结合 防火 墙 ,病毒 防护 以 及 电子 商务 技术 ,提供 完整 的 网 
络 安全 保障 。 


课 后 习 题 
填空 是 
1. (5 ) 是 一 种 对 网 络 传输 进行 即时 监视 ,在 发 现 可 疑 传输 时 发 出 警报 或 者 采取 主动 
反应 措施 的 网 络 安全 设备 。 


2. 按 分 析 技 术 分 类 ,入侵 检测 系统 可 分 为 ( ) 和 ( 尖 
3. 按 数据 来 源 分 类 ,入 侵 检测 系统 可 分 为 ( ) 和 ( 四 
4. CIDF 通用 模型 人 侵 检测 系统 分 为 几 个 单元 : ( Js yt ) 事件 数据 库 。 
5. 人 和 人 侵 的 定义 是 : 企图 破坏 资源 的 完整 性 、( yt ) 的 任何 行为 ,也 指 违背 系统 

安全 策略 的 任何 事件 。 
简 答 题 

. 什么 是 入 侵 检 测 系统 ? 

. IDS 的 主要 功能 有 哪些 ? 

. 基于 网 络 的 入侵 检测 系统 有 哪些 优点 ? 

. IDS 的 分 类 有 哪些 ? 

. 人 侵 检测 系统 常用 的 检测 方法 有 哪些 ? 

. 今后 的 入 侵 检测 技术 大 致 有 哪 几 个 发 展 趋势 ? 
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8.1 什么 是 虚拟 专用 网 


随 着 企业 网 应 用 的 不 断 扩大 ,企业 网 的 范围 也 不 断 扩大 ,从 本 地 到 跨 地 区 、 跨 城市 ,甚至 
是 跨国 家 的 网 络 。 但 采用 传统 的 广域网 建立 企业 专 网 ,往往 需要 租用 昂贵 的 跨 地 区 数字 专 
线 。 同 时 Internet 已 遍布 各 地 ,物理 上 各 地 的 Internet 都 是 连通 的 ,但 Internet 是 对 社会 
放 的 ,如 果 企 业 的 信息 要 通过 公众 信息 网 进行 传输 ,在 安全 性 上 存在 着 很 多 问题 。 那 么 ,该 
如 何 利用 现 有 的 公众 信息 网 建立 安全 的 企业 专 有 网 络 呢 ? 为 了 解决 上 述 问题 ,人 们 提出 了 
虚拟 专用 网 (Virtual Private Network,VPN) 的 概念 。 

虚拟 专用 网 (VPN) 被 定义 为 通过 一 个 公用 网 络 (通常 是 因特网 ) 建 立 一 个 临时 的 、 安 全 
的 连接 ,是 一 条 穿 过 混乱 的 公用 网 络 的 安全 、 稳 定 的 隧道 。 虚 拟 专 用 网 是 对 企业 内 部 网 的 扩 
展 。 虚 拟 专用 网 可 以 帮助 远程 用 户 、 公 司 分 支 机 构 、 商 业 伙伴 及 供应 商 同 公司 的 内 部 网 建立 
可 信 的 安全 连接 ,并 保证 数据 的 安全 传输 。 虚 拟 专 用 网 可 用 于 不 断 增长 的 移动 用 户 的 全 球 
因特网 接 入 ,以 实现 安全 连接 ; 可 用 于 实现 企业 网 站 之 间 安 全 通信 的 虚拟 专用 线路 ,用 于 经 
济 有 效 地 连接 到 商业 伙伴 和 用 户 的 安全 外 联网 虚拟 专用 网 。 

目前 很 多 单位 都 面临 着 这 样 的 挑战 : 分 公司 、 经 销 商 、 合 作 伙伴 .客户 和 外 地 出 差 人 员 
要 求 随时 经 过 公用 网 访问 公司 的 资源 ,这 些 资源 包括 : 公司 的 内 部 资料 .办 公 OA、ERP 系 
统 .CRM 系统 ,项目 管理 系统 等 。 现 在 很 多 公司 通过 使 用 IPSec VPN 来 保证 公司 总 部 和 分 
支 机 构 以 及 移动 工作 人 员 之 间 的 安全 连接 。 


8.2 VPN 的 基本 功能 


虚拟 专用 网 的 重点 在 于 建立 安全 的 数据 通道 ,构造 这 条 安全 通道 的 协议 必须 具备 以 下 
功能 : 

(1) 保证 数据 的 真实 性 ,通信 主机 必须 是 经 过 授权 的 ,要 有 抵抗 地 址 冒 认 (IPSpoofing) 
的 能 力 。 

(2) 保证 数据 的 完整 性 ,接收 到 的 数据 必须 与 发 送 时 的 一 致 ,要 有 抵抗 不 法 分 子 算 改 数 


据 的 能 力 。 
(3) 保证 通道 的 机 密 性 ,提供 强 有 力 的 加 密 手段 ,必须 使 偷 听 者 不 能 破解 拦截 到 的 通道 
数据 。 


(4) 提供 动态 密 钥 交换 功能 ,提供 密 钥 中 心 管理 服务 器 ,必须 具备 防止 数据 重演 的 功 
能 ,保证 通道 不 能 被 重演 。 
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(5) 提供 安全 防护 措施 和 访问 控制 ,要 有 抵抗 黑客 通过 VPN 通道 攻击 企业 网 络 的 能 
力 ,并且 可 以 对 VPN 通道 进行 访问 控制 。 


8.3 ”VPN 所 需 的 安全 技术 


VPN 主要 采用 四 项 技术 来 保证 安全 ,这 四 项 技术 分 别 为 : 
(1) 隧道 技术 (tunneling); 

(2) 加 解密 技术 (encryption & decryption) ; 

(3) 密 钥 管理 技术 (key management); 

(4) 认证 技术 (authentication ) 。 


8.3.1 隧道 技术 


隧道 技术 是 一 种 通过 使 用 互联 网 络 的 基础 设施 在 网 络 之 间 传 递 数 据 的 方式 。 使 用 隧道 
传递 的 数据 (或 负载 ) 可 以 是 不 同 协议 的 数据 帧 或 包 。 隧 道 协议 将 其 他 协议 的 数据 帧 或 包 重 
新 封装 然后 通过 隧道 发 送 。 新 的 帧 头 提供 路 由 信息 ,以 便 通 过 互联 网 传递 被 封装 的 负载 
数据 。 

这 里 所 说 的 隧道 类 似 于 点 到 点 的 连接 。 这 种 方式 能 够 使 来 自 许多 信息 源 的 网 络 业务 在 
同一 个 基础 设施 中 通过 不 同 的 隧道 进行 传输 。 隧 道 技术 使 用 点 对 点 通信 协议 代替 了 交换 连 
接 ,通过 路 由 网 络 来 连接 数据 地 址 。 隧 道 技术 允许 授权 移动 用 户 或 已 授权 的 用 户 在 任何 时 
间 、 任 何 地 点 访问 企业 网 络 。 

通过 隧道 的 建立 ,可 实现 ， 

(1) 将 数据 流 强制 送 到 特定 的 地 址 ; 

(2) 隐藏 私有 的 网 络 地 址 ; 

(3) 在 IP 网 上 传递 非 IP 数据 包 ; 

(4) 提供 数据 安全 支持 ， 

近来 出 现 了 一 些 新 的 隧道 技术 ,并 在 不 同 的 系统 中 得 到 运用 和 拓展 。 为 创建 隧道 ,隧道 
的 客户 机 和 服务 器 双方 必须 使 用 相同 的 隧道 协议 。 隧 道 技 术 可 分 别 以 第 2 层 或 第 3 层 隧道 
协议 为 基础 。 第 2 层 隧 道 协议 对 应 于 OSI 模型 的 数据 链 路 层 , 使 用 帧 作为 数据 交换 单位 。 
PPTP( 点 对 点 隧道 协议 )、.L2TP( 第 二 层 隧道 协议 ) 和 L2F( 第 2 层 转 发 协议 ) 都 属于 第 2 层 
隧道 协议 ,是 将 用 户 数据 封装 在 点 对 点 协议 (PPP) 帧 中 通过 互联 网 发 送 。 第 3 层 隧道 协议 
对 应 于 OSI 模型 的 网 络 层 , 使 用 包 作为 数据 交换 单位 。IPIP(IP over IP) 以 及 IPSec 隧道 模 
式 属于 第 3 层 隧 道 协议 ,是 将 IP 包 封装 在 附加 的 IP 包头 中 ,通过 IP 网 络 传送 。 无 论 哪 种 
隧道 协议 都 是 由 传输 的 载体 ,不同 的 封装 格式 以 及 用 户 数 据 包 组 成 的 。 它 们 的 本 质 区 别 在 
于 ,用 户 的 数据 包 是 被 封装 在 哪 种 数据 包 中 在 隧道 中 传输 。 下 面 分 别 介绍 这 几 种 常用 的 隧 
道 协 议 。 

1. 点 对 点 隧道 协议 (PPTP) 

PPTP(Point to Point Tunneling Protocol) 提 供 PPTP 客户 机 和 PPTP 服务 器 之 间 的 
加 密 通 信 。PPTP 是 PPP 协议 的 一 种 扩展 。 它 提供 了 一 种 在 互联 网 上 建立 多 协议 的 安全 
虚拟 专用 网 (VPN) 的 通信 方式 。 远 端 用 户 能 够 透 过 任何 支持 PPTP 的 ISP 访问 公司 的 专 


用 网 。 

通过 PPTP ,客户 可 采用 拨号 方式 接 和 人 公用 IP 网 。 拨 号 用 户 首 先 按 常 规 方式 拨 到 ISP 
的 接 入 服务 器 (NAS) ,建立 PPP 连接 ; 在 此 基础 上 ,用 户 进行 二 次 拨号 建立 到 PPTP 服务 
器 的 连接 ,该 连接 称 为 PPTP 隧道 ,实质 上 是 基于 IP 协议 的 另 一 个 PPP 连接 ,其 中 的 IP 包 
可 以 封装 多 种 协议 数据 ,包括 TCP/IP、IPX 和 NetBEUI。PPTP 采用 了 基于 RSA 公司 
RC4 的 数据 加 密 方法 ,保证 了 虚拟 连接 通道 的 安全 。 对 于 直接 连 到 互联 网 的 用 户 则 不 需要 
PPP 的 拨号 连接 ,可 以 直接 与 PPTP 服务 器 建立 虚拟 通道 。 PPTP 把 建立 隧道 的 主动 权 交 
给 了 用 户 , 但 用 户 需要 在 其 PC 上 配置 PPTP, 这 样 做 既 增 加 了 用 户 的 工作 量 , 又 会 给 网 络 带 
来 隐患 。 另 外 ,PPTP 只 支持 IP 作为 传输 协议 。 

2. 第 二 层 转发 协议 L2F 

L2F(Layer Two Forwarding protocol) 是 由 Cisco 公司 提出 的 可 以 在 多 种 介质 ,如 
ATM, 帧 中 继 、IP 网 上 建立 多 协议 的 安全 虚拟 专用 网 的 通信 。 远 端 用 户 能 通过 任何 拨号 方 
式 接 入 公用 IP 网 ,首先 按 常 规 方式 拨 到 ISP 的 接 入 服务 器 (NAS) ,建立 PPP 连接 ; NAS 根 
据 用 户 名 等 信息 ,建立 直达 HGW 服务 器 的 第 二 重 连接 。 在 这 种 情况 下 ,隧道 的 配置 和 建立 
对 用 户 是 完全 透明 的 。 

3. 第 二 层 隧道 协议 L2TP 

L2TP(Layer Two Tunneling Protocol) 结 合 了 L2F 和 PPTP 的 优点 ,允许 用 户 从 客户 
端 或 访问 服务 器 端 建立 VPN 连接 。L2TP 是 把 链 路 层 的 PPP 帧 装 入 公用 网 络 设施 ,如 IP、 
ATM 帧 中 继 中 进行 隧道 传输 的 封装 协议 。 

Cisco、Ascend、Microsoft 和 RedBack 公司 的 专家 们 在 修改 了 十 几 个 版 本 后 ,终于 在 
1999 年 8 月 公布 了 L2TP 的 标准 RFC2661。 目 前 用 户 拨号 访问 Internet 时 ,必须 使 用 IP 
协议 ,并 且 其 动态 得 到 的 IP 地 址 也 是 合法 的 。L2TP 的 好 处 在 于 支持 多 种 协议 ,用 户 可 以 
保留 原 有 的 IPX、Appletalk 等 协议 或 公司 原 有 的 IP 地 址 。L2TP 还 解决 了 多 个 PPP 链 路 
的 捆绑 问题 ,PPP 链 路 捆绑 要 求 其 成 员 均 指向 同一 个 NAS,L2TP 则 允许 在 物理 上 连接 到 
不 同 NAS 的 PPP 链 路 ,在 逻辑 上 的 终点 为 同一 个 物理 设备 。L2TP 扩展 了 PPP 连接 ,在 传 
统 的 方式 中 用 户 通过 模拟 电话 线 或 ISDNVADSL 与 网 络 访问 服务 器 建立 一 个 第 2 层 的 连 
接 ,并 在 其 上 运行 PPP, 第 2 层 连接 的 终点 和 PPP 会 话 的 终点 均 设 在 同一 个 设备 上 (如 
NAS)。L2TP 作为 PPP 的 扩充 提供 了 更 强大 的 功能 ,包括 允许 第 2 层 连接 的 终点 和 PPP 
会 话 的 终点 分 别 设 在 不 同 的 设备 上 。 

L2TP 主要 由 LAC(L2TP Access Concentrator) 和 LNS(L2TP Network Server) 构 成 。 
LAC 支持 客户 端的 L2TP, 发 起 呼叫 ,接收 呼叫 和 建立 隧道 ; LNS 是 所 有 隧道 的 终点 。 在 传 
统 的 PPP 连接 中 ,用 户 拨号 连接 的 终点 是 LAC, 而 L2TP 能 把 PPP 协议 的 终点 延伸 
到 LNS。 

用 户 通过 公用 电话 网 或 ISDN 拨号 呼叫 本 地 接 入 服务 器 LAC。LAC 接受 呼叫 并 进行 
基本 的 识别 过 程 ,这 一 过 程 可 以 采用 几 种 标准 ,如 域名 、 呼 叫 线路 识别 (CLID) 或 拨号 ID 业 
务 (DNIS) 等 。 

L2TP 方式 给 服务 提供 商 和 用 户 带 来 了 许多 方便 。 用 户 不 需要 在 PC 上 安装 专门 的 客 
户 端 软件 ,企业 网 可 以 使 用 未 注册 的 IP 地 址 ,并 在 本 地 管理 认证 数据 库 ,从 而 降低 了 应 用 成 
本 和 培训 维护 费用 。 


VPN 靶 太 


地 co 加 
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与 PPTP 和 L2F 相 比 ,L2TP 的 优点 在 于 提供 了 差错 和 流量 控制 ; L2TP 使 用 UDP 封 
装 和 传送 PPP 帧 。 面 向 无 连接 的 UDP 无 法 保证 网 络 数据 的 可 靠 传 输 ,L2TP 使 用 Nr( 下 一 
个 希望 接受 的 信息 序列 号 ) 和 Ns( 当 前 发 送 的 数据 包 序列 号 ) 字 段 进行 流量 和 差错 控制 。 双 
方 通过 序列 号 来 确定 数据 包 的 顺序 和 缓冲 区 ,一 旦 丢失 数据 ,根据 序列 号 可 以 进行 重 发 。 

作为 PPP 的 扩展 协议 ,L2TP 支持 标准 的 安全 特性 CHAP 和 PAP, 可 以 进行 用 户 身份 
认证 。L2TP 定义 了 控制 包 的 加 密 传输 ,每 个 被 建立 的 隧道 分 别 生成 一 个 独一无二 的 随机 
钥匙 ,以 便 对 付 欺骗 性 的 攻击 ,但 是 它 对 传输 中 的 数据 并 不 加 密 。 

4. 通用 路 由 封装 

通用 路 由 封装 (Generic Routing Encapsulation,GRE) 在 RFC1701/RFC1702 中 定义 ， 
它 规定 了 怎样 用 一 种 网 络 层 协议 去 封装 另 一 种 网 络 层 协议 的 方法 。GRE 的 隧道 由 两 端的 
源 IP 地 址 和 目的 IP 地 址 来 定义 , 它 允 许 用 户 使 用 IP 封装 IP、IPX、AppleTalk, 并 支持 全 部 
的 路 由 协议 ,如 RIP、OSPF、IGRP、EIGRP。 通 过 GRE, 用 户 可 以 利用 公用 IP 网 络 连接 IPX 
网 络 和 AppleTalk 网 络 ,还 可 以 使 用 保留 地 址 进行 网 络 互联 ,或 对 公 网 隐藏 企业 网 的 IP 
地 址 。 

GRE 的 包头 包含 了 协议 类 型 (用 于 标明 乘客 协议 的 类 型 ) ,其 校 验 和 包括 了 GRE 的 包 
头 和 完整 的 乘客 协议 与 数据 ,其 密 钥 用 于 接收 端 验证 接收 的 数据 ,其 序列 号 用 于 接收 端 数据 
包 的 排序 和 差错 控制 ,路 由 信息 (用 于 本 数据 包 的 路 由 ) 。 

GRE 只 提供 了 数据 包 的 封装 , 它 没 有 防止 网 络 侦 听 和 攻击 的 加 密 功 能 。 所 以 在 实际 环 
境 中 它 常 和 IPSec 一 起 使 用 ,由 IPSec 为 用 户 数 据 的 加 密 , 给 用 户 提 供 更 好 的 安全 服务 。 


8.3.2 加密 技术 


IPSec 通过 ISAKMP/IKE/Oakley 协商 确定 几 种 可 选 的 数据 加 密 算法 ,如 DES 、3DES 
等 。DES 密 钥 长 度 为 56 位 ,容易 被 破译 ,3DES 使 用 三 重 加 密 增 加 了 安全 性 。 当 然 国 外 还 
有 更 好 的 加 密 算 法 ,但 国外 禁止 出 口 高 位 加 密 算法 。 基 于 同样 理由 ,国内 也 禁止 重要 部 门 使 
用 国外 算法 。 国 内 算法 不 对 外 公开 ,被 破解 的 可 能 性 极 小 。 图 8. 1 展示 了 隧道 和 加 密 技术 
在 VPN 中 是 如 何 应 用 的 。 
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图 8.1 隧道 与 加 密 的 应 用 


8.3.3 密 钥 分 发 和 管理 


VPN 中 密 钥 的 分 发 与 管理 非常 重要 。 密 钥 的 分 发 有 两 种 方法 : 一 种 是 通过 手工 配置 
的 方式 , 另 一 种 是 采用 密 钥 交换 协议 动态 分 发 。 手 工 配置 的 方法 由 于 密 钥 更 新 困难 ,只 适合 
于 简单 网 络 的 情况 。 密 钥 交 换 协 议 采 用 软件 方式 动态 生成 密 钥 ,适合 于 复杂 网 络 的 情况 且 
密 钥 可 快速 更 新 ,可 以 显著 提高 VPN 的 安全 性 。 目 前 主要 的 密 钥 交换 与 管理 标准 有 IKE 
(互联 网 密 钥 交换 ) SKIP( 互 联网 简单 密 钥 管理 ) 和 Oakley。 


8.3.4 身份 认证 技术 


认证 技术 防止 数据 的 伪造 和 被 自 改 , 它 采 用 一 种 称 为 “摘要 ”的 技术 。“ 摘 要 ”技术 主要 
采用 hash 函数 将 一 段 长 的 报 文通 过 函数 变换 映射 为 一 段 短 的 报 文 即 摘要 。 由 于 hash 函数 
的 特性 ,两 个 不 同 的 报 文具 有 相同 的 摘要 几乎 不 可 能 。 该 特性 使 得 摘要 技术 在 VPN 中 有 
两 个 用 途 : 验证 数据 的 完整 性 .用户 认证 。 


8.4 VPN 的 分 类 


根据 不 同 的 需要 ,可 以 构造 不 同类 型 的 VPN。 不 同 商业 环境 对 VPN 的 要 求 和 VPN 
所 起 的 作用 不 同 。 这 里 分 三 种 情况 说 明 VPN 的 用 途 。 

(1) 内 部 VPN: 指 在 公司 总 部 和 其 分 支 机 构 之 间 建 立 的 VPN。 

内 部 网 是 通过 公共 网 络 将 某 一 个 组 织 的 各 个 分 支 机 构 的 LAN 连接 而 成 的 网 络 。 这 种 
类 型 的 LAN 到 LAN 的 连接 所 带 来 的 风险 最 小 ,因为 公司 通常 认为 他 们 的 分 支 机 构 是 可 信 
的 ,这 种 方式 连接 而 成 的 网 络 被 称 为 Intranet, 可 看 作 是 公司 网 络 的 扩展 ,其 拓扑 如 图 8. 2 
所 示 。 


安全 的 VPN 服 务 ， 应 该 为 了 公司 a 
的 不 同 用 户 指定 不 同 的 访问 权限 。| 一 一 加 密 信道 


Re VPN 服 务 器 
VPN 


图 8.2 内 部 网 VPN 拓扑 图 


当 一 个 数据 传输 通道 的 两 个 端点 被 认为 是 可 信 的 时 候 ,可 以 选择 内 部 网 VPN 解决 方 
案 。 安 全 性 主要 在 于 加 强 两 个 VPN 服务 器 之 间 加 密 和 认证 的 手段 。 
(2) 远程 访问 VPN: 指 在 公司 总 部 和 远 地 雇 员 之 间 建 立 的 VPN。 
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典型 的 远程 访问 VPN 是 用 户 通 过 本 地 的 信息 提供 商 (ISP) 登 录 到 Internet 上 ,并 在 现 
在 的 办 公 室 和 公司 内 部 网 之 间 建 立 一 条 加 密 通 道 。 有 较 高 安全 度 的 远程 访问 VPN 应 能 截 
获 特定 主机 的 信息 流 , 有 加 密 、 身 份 认证 和 过 滤 等 功能 ,如 图 8. 3 所 示 。 
VPN 的 功能 : 
1. 访问 控制 管理 。2. 用 户 身份 认证 。 


3. 数据 加 密 。4. 智能 监视 和 审计 记 | 
录 。5. 密 钥 和 数字 签名 管理 。 加 密 信道 


图 8.3 远程 访问 VPN 


(3) 外 联网 VPN: 指 公司 与 商业 伙伴 、 客 户 之 间 建 立 的 VPN。 

外 联网 VPN 为 公司 商业 伙伴 客户 和 在 远 地 的 雇员 提供 安全 性 。 外 联网 VPN 的 主要 
目标 是 保证 数据 在 传输 过 程 中 不 被 修改 ,保护 网 络 资源 不 受 外 部 威胁 。 外 联网 VPN 应 是 
一 个 由 加 密 、 认 证 和 访问 控制 功能 组 成 的 集成 系统 。 通 常 将 公司 的 VPN 代理 服务 器 放 在 
一 个 不 能 穿 透 的 防火 墙 之 后 ,防火 墙 阻止 来 历 不 明 的 信息 传输 。 所 有 经 过 过 滤 后 的 数据 通 
过 一 个 唯一 的 入 口传 到 VPN 服务 器 ,VPN 再 根据 安全 策略 进一步 过 滤 , 其 拓扑 如 图 8. 4 
所 示 。 


1. VPN 服 务 应 有 详细 的 访问 控 
制 。2. 与 防火 墙 /协议 兼容 。 
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图 8.4 外 联网 VPN 拓扑 图 


8.5 IP 安全 协议 


IP 安全 协议 (IP Security,IPSec) 实 际 上 是 一 套 协 议 包 而 不 是 一 个 独立 的 协议 ,这 一 点 
对 于 认识 IPSec 是 很 重要 的 。 从 1995 年 开始 IPSec 的 研究 以 来 ,IETF IPSec 工作 组 在 它 的 


主页 上 发 布 了 几 十 个 Internet 草案 文献 和 12 个 RFC 文件 。 其 中 ,比较 重要 的 有 RFC2409 
IKE( 互 联网 密 钥 交换 )、RFC2401 IPSec 协议 .RFC2402 AH 验证 包头 .RFC2406 ESP 加 密 
数据 等 文件 。 

IPSec 安全 体系 包括 3 个 基本 协议 : AH 协议 为 IP 包 提 供 信 息 源 验 证 和 完整 性 保证 ; 
ESP 协议 提供 加 密 机 制 ; 密 钥 管 理 协 议 (ISAKMP) 提 供 双 方 交 流 时 的 共享 安全 信息 。ESP 
和 AH 协议 都 有 相关 的 一 系列 支持 文件 ,规定 了 加 密 和 认证 的 算法 。 最 后 ,解释 域 (DOD 通 
过 一 系列 命令 .算法 、 属 性 和 参数 连接 所 有 的 IPSec 组 文件 。 


8.5.1 IPSec 的 安全 特性 


(1) 不 可 否认 性 ,可 以 证 实 消息 发 送 方 是 唯一 可 能 的 发 送 者 ,发 送 者 不 能 否认 发 送 过 消 
息 。“ 不 可 否认 性 ”是 采用 公 钥 技术 的 一 个 特征 , 当 使 用 公 钥 技术 时 ,发 送 方 用 私 钥 产 生 一 个 
数字 签名 随 消息 一 起 发 送 ,接收 方 用 发 送 者 的 公 钥 来 验证 数字 签名 。 由 于 在 理论 上 只 有 发 
送 者 才 唯一 拥有 私 钥 ,也 只 有 发 送 者 才 可 能 产生 该 数字 签名 ,所 以 只 要 数字 签名 通过 验证 ， 
发 送 者 就 不 能 否认 曾 发 送 过 该 消息 。 但 “不 可 否认 性 ”不 是 基于 认证 的 共享 密 钥 技术 的 特 
征 , 因 为 在 基于 认证 的 共享 密 钥 技术 中 ,发 送 方 和 接收 方 掌 握 相同 的 密 钥 。 

(2) 反 重播 性 ,确保 每 个 IP 包 的 唯一 性 ,保证 信息 万 一 被 截取 复制 后 ,不 能 再 被 重新 利 
用 、 重 新 传输 回 目的 地 址 。 该 特性 可 以 防止 攻击 者 截取 破译 信息 后 ,再 用 相同 的 信息 包 冒 取 
非法 访问 权 ( 即 使 这 种 冒 取 行 为 发 生 在 数 月 之 后 ) 。 

(3) 数据 完整 性 ,防止 传输 过 程 中 数据 被 自 改 ,确保 发 出 数据 和 接收 数据 的 一 致 性 。 
IPSec 利用 hash 函数 为 每 个 数据 包产 生 一 个 加 密 检查 和 ,接收 方 在 打开 包 前 先 计 算 检 查 
和 , 若 包 遭 自 改 导致 检查 和 不 相符 ,数据 包 即 被 丢弃 。 

(4) 数据 可 靠 性 (加 密 ) ,在 传输 前 ,对 数据 进行 加 密 , 可 以 保证 在 传输 过 程 中 ,即使 数据 
包 遭 截取 ,信息 也 无 法 被 读 。 该 特性 在 IPSec 中 为 可 选项 ,与 IPSec 策略 的 具体 设置 相关 。 
认证 数据 源 发 送信 任 状态 ,由 接收 方 验证 信任 状态 的 合法 性 ,只 有 通过 认证 的 系统 才 可 以 建 
立 通信 连接 。 


8.5.2 基于 电子 证 书 的 公 角 认证 


一 个 架构 良好 的 公 钥 体系 ,在 信任 状态 的 传递 中 不 造成 任何 信息 外 泄 ,能 解决 很 多 安全 
问题 。IPSec 与 特定 的 公 钥 体系 相 结 合 ,可 以 提供 基于 电子 证 书 的 认证 。 公 和 钥 证 书 认证 在 
Windows 2003 中 ,适用 于 对 非 Windows 2003 主机 、 独 立 主机 , 非 信 任 域 成 员 的 客户 机 ,或 
者 不 运行 Kerberos v5 认证 协议 的 主机 进行 身份 认证 。 


8.5.3 预 置 共享 密 角 认证 


IPSec 也 可 以 使 用 预 置 共 享 密 钥 进 行 认证 。 预 共享 意味 着 通信 双方 必须 在 IPSec 策略 
设置 中 就 共享 的 密 钥 达成 一 致 。 之 后 在 安全 协商 过 程 中 ,信息 在 传输 前 使 用 共享 密 钥 加 密 ， 
接收 端 使 用 同样 的 密 钥 解 密 , 如 果 接 收 方 能 够 解密 , 即 被 认为 可 以 通过 认证 。 但 在 
Windows 2003 IPSec 策略 中 ,这 种 认证 方式 被 认为 不 够 安全 而 一 般 不 推荐 使 用 。 
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8.5.4 公 钥 加 密 


IPSec 的 公 钥 加 密 用 于 身份 认证 和 密 钥 交 换 ,每 个 用 户 拥有 一 个 密 钥 对 ,其 中 私 钥 仅 为 
其 个 人 所 知 , 公 钥 则 可 分 发 给 任意 需要 与 之 进行 加 密 通 信 的 人 。 例 如 ,A 想 要 发 送 加 密 信 
息 给 B, 则 A 需要 用 B 的 公 钥 加 密 信息 ,之 后 只 有 B 才能 用 他 的 私 钥 对 该 加 密 信息 进行 解 
密 。 虽然 密 钥 对 中 两 把 钥匙 彼此 相关 ,但 要 想 从 其 中 一 把 推导 出 另 一 把 ,以 目前 计算 机 的 运 
算 能 力 来 看 ,这 种 做 法 几乎 完全 不 现实 。 因 此 ,在 这 种 加 密 法 中 , 公 钥 可 以 广 为 分 发 ,而 私 钥 
则 需要 仔细 地 妥善 保管 。 


8.5.5 hash 函数 和 数据 完整 性 


hash 信息 验证 码 (Hash Message Authentication Codes,HMAC) 验 证 接收 消息 和 发 送 
消息 的 完全 一 致 性 (完整 性 )。 这 在 数据 交换 中 非常 关键 ,尤其 当 传输 媒介 如 公共 网 络 中 不 
提供 安全 保证 时 更 显 其 重要 性 。 

HMAC 结合 hash 算法 和 共享 密 钥 提 供 完整 性 。hash( 散 列 ) 通 常 也 被 当成 是 数字 签 
名 ,但 这 种 说 法 不 够 准确 ,两 者 的 区 别 在 于 : 散 列 使 用 共享 密 钥 ,而 数字 签名 基于 公 钥 技术 。 
hash 算法 也 称 为 消息 摘要 或 单 向 转换 。 称 它 为 单 向 转换 是 因为 : 

(1) 双方 必须 在 通信 的 两 个 端 头 处 各 自 执 行 hash 函数 计算 。 

(2) 使 用 hash 函数 很 容易 从 消息 计算 出 消息 摘要 ,但 其 逆向 反 演 过 程 以 目前 计算 机 的 
运算 能 力 几乎 不 可 实现 。 

散 列 本 身 就 是 所 谓 加 密 检查 和 /或 消息 完整 性 编码 (Message Integrity Code, MIC), 通 
信 双 方 必须 各 自 执行 函数 计算 来 验证 消息 。 举 例 来 说 ,发 送 方 首先 使 用 HMAC 算法 和 共 
享 密 钥 计算 消息 检查 和 ,然后 将 计算 结果 A 封装 进 数据 包 中 一 起 发 送 ; 接收 方 再 对 所 接收 
的 消息 执行 HMAC 计算 得 出 结果 B, 并 将 B 与 A 进行 比较 。 如 果 消 息 在 传输 中 遭 仁 改 臻 
使 B 与 A 不 一 致 ,接收 方 丢弃 该 数据 包 。 

有 两 种 最 常用 的 hash 函数 : 

(1) HMAC-MD5。MD5( 消 息 摘 要 5) 基 于 RFC1321。MD5 对 MD4 做 了 改进 ,计算 速 
度 比 MD4 稍 慢 , 但 安全 性 能 得 到 了 进一步 改善 。MD5 在 计算 中 使 用 了 64 个 32 位 常数 ,最 
终生 成 一 个 128 位 的 完整 性 检查 和 。 

(2) HMAC-SHA。 安 全 hash 算法 定义 在 NIST FIPS 180-1, 其 算法 以 MD5 为 原型 。 
SHA 在 计算 中 使 用 了 79 个 32 位 常数 ,最 终 产 生 一 个 160 位 完整 性 检查 和 。SHA 检查 和 
长 度 比 MD5 更 长 ,因此 安全 性 也 更 高 。 


8.5.6 加 密 和 数据 可 靠 性 


IPSec 使 用 的 数据 加 密 算法 是 DES( 数 据 加 密 标准 )。DES 密 钥 长 度 为 56 位 ,在 形式 上 
是 一 个 64 位 数 。DES 以 64 位 (8 字 节 ) 为 分 组 对 数据 加 密 , 每 64 位 明文 ,经 过 16 轮 置 换 生 
成 64 位 密 文 ,其 中 每 字 节 有 1 位 用 于 奇偶 校 验 ,所 以 实际 有 效 密 钥 长 度 是 56 位 。IPSec 还 
支持 3DES 算法 ,3DES 可 提供 更 高 的 安全 性 ,但 相应 地 ,计算 速度 更 慢 。 


8.5.7 密 钥 管理 


1. 动态 密 钥 更 新 

IPSec 策略 使 用 “动态 密 钥 更 新 ”法 来 决定 在 一 次 通信 中 ,新 密 钥 产生 的 频率 。 动 态 密 
钥 指 在 通信 过 程 中 ,数据 流 被 划分 成 一 个 个 “数据 块 ”, 每 一 个 “数据 块 " 都 使 用 不 同 的 密 钥 加 
密 , 这 可 以 保证 万 一 攻击 者 中 途 截取 了 部 分 通信 数据 流 和 相应 的 密 钥 后 ,也 不 会 危及 所 有 其 
余 的 通信 信息 的 安全 。 动 态 密 钥 更 新 服务 由 Internet 密 钥 交换 (Internet Key Exchange， 
IKE) 提 供 。 

IPSec 策略 允许 专家 级 用 户 自 定义 密 钥 生命 周期 。 如 果 该 值 没有 设置 , 则 按 默认 时 间 
间隔 自动 生成 新 密 钥 。 

2. 密 钥 长 度 

密 钥 长 度 每 增加 一 位 ,可 能 的 密 钥 数 就 会 增加 一 倍 , 相 应 地 ,破解 密 钥 的 难度 也 会 随 之 
旦 指数 级 加 大 。IPSec 策略 提供 多 种 加 密 算 法 ,可 生成 多 种 长 度 不 等 的 密 钥 ,用 户 可 根据 不 
同 的 安全 需求 加 以 选择 。 

3， Diffie-Hellman 算法 

要 启动 安全 通信 ,通信 两 端 必须 首先 得 到 相同 的 共享 密 钥 ( 主 密 钥 ) ,但 共享 密 钥 不 能 通 
过 网 络 相互 发 送 ,因为 这 种 做 法 极 易 泄密 。 

Diffie-Hellman 算法 是 用 于 密 钥 交换 的 最 早 最 安全 的 算法 之 一 。DH 算法 的 基本 工作 
原理 是 : 通信 双方 公开 或 半 公 开交 换 一 些 准备 用 来 生成 密 钥 的 “材料 数据 ,在 彼此 交换 过 
密 钥 生成 “材料 ”后 ,两 端 可 以 各 自生 成 出 完全 一 样 的 共享 密 钥 。 在 任何 时 候 , 双 方 都 绝 不 交 
换 真正 的 密 钥 。 

通信 双方 交换 的 密 钥 生成 “材料 ”, 长 度 不 等 “材料 长度 越 长 ,所 生成 的 密 钥 强 度 也 就 
越 高 , 密 钥 破 译 就 越 困 难 。 除 进行 密 钥 交换 外 ,IPSec 还 使 用 DH 算法 生成 所 有 其 他 加 密 
密 钥 。 


8.5.8 IPSec 的 好 处 


在 防火 墙 或 路 由 器 中 实现 时 ,可 以 对 所 有 跨越 周 界 的 流量 实施 强 安全 性 。 而 公司 内 部 
或 工作 组 不 必 招 致 与 安全 相关 处 理 的 负担 ,同时 可 以 防止 IP 旁 路 。 

IPSec 是 在 传输 层 之 下 ,因此 对 应 用 透明 ,不 必 改 变 用 户 或 服务 器 系统 上 的 软件 。 对 最 
终 用 户 也 是 透明 ,无 须 训练 用 户 , 同 时 可 以 提供 个 人 安全 性 。 这 对 非 现 场 工作 人 员 以 及 在 一 
个 组 织 内 为 一 个 敏感 应 用 建立 一 个 安全 的 虚拟 子 网 是 有 用 的 。 


8.6 安全 套 接 层 


安全 套 接 层 (Secure Socket Layer,SSL) 为 Netscape 所 研发 ,用 以 保障 在 Internet 上 数 
据 传输 之 安全 ,利用 数据 加 密 技术 ,可 确保 数据 在 网 络 传输 过 程 中 不 会 被 截取 及 窃听 。 目 前 
一 般 通 用 的 规格 为 40 位 安全 标准 ,美国 则 已 推出 128 位 更 高 安全 标准 ,但 限制 出 境 。 只 要 
3.0 版 本 以 上 的 正 或 Netscape 浏览 器 即 可 支持 SSL。 它 已 被 广泛 地 用 于 Web 浏览 器 与 服 
务 器 之 间 的 身份 认证 和 加 密 数 据 传输 。 
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SSL 协议 位 于 TCP/IP 协议 与 各 种 应 用 层 协 议 之 间 ,为 数据 通信 提供 安全 支持 。SSL 
协议 可 分 为 两 层 : SSL 记录 协议 ,建立 在 可 靠 的 传输 协议 (如 TCP) 之 上 ,为 高 层 协议 提供 数 
据 封装 ,压缩 、 加 密 等 基本 功能 的 支持 。SSL 握手 协议 ,建立 在 SSL 记录 协议 之 上 ,用 于 在 
实际 的 数据 传输 开始 前 ,通信 双方 进行 身份 认证 .协商 加 密 算 法 .交换 加 密 密 钥 等 。 

1. SSL 协议 提供 的 主要 服务 

(1) 认证 用 户 和 服务 器 ,确保 数据 发 送 到 正确 的 客户 机 和 服务 器 ; 

(2) 加 密 数 据 以 防止 数据 中 途 被 窃取 ; 

(3) 维护 数据 的 完整 性 ,确保 数据 在 传输 过 程 中 不 被 改变 。 

2. SSL 协议 的 工作 流程 

(1) 客户 端 向 服务 器 发 送 一 个 开始 信息 “Hello” 以 便 开 始 一 个 新 的 会 话 连接 。 

(2) 服务 器 根据 客户 的 信息 确定 是 否 需 要 生成 新 的 主 密 钥 , 如 需要 则 服务 器 在 响应 客 
户 的 Hello 信息 时 将 包含 生成 主 密 钥 所 需 的 信息 。 

(3) 客户 根据 收 到 的 服务 器 响应 信息 ,产生 一 个 主 密 钥 ,并 用 服务 器 的 公开 密 钥 加 密 后 
传 给 服务 器 。 

(4) 服务 器 恢复 该 主 密 钥 ,并 返回 给 客户 一 个 用 主 密 钥 认 证 的 信息 ,以 此 让 客户 认证 服 
务 器 。 

(5) 经 认证 的 服务 器 发 送 一 个 提问 给 客户 ,客户 则 返回 (数字 ) 签 名 后 的 提问 和 其 公 
密 钥 ,从 而 向 服务 器 提供 认证 。 

从 SSL 协议 所 提供 的 服务 及 其 工作 流程 可 以 看 出 ,SSL 协议 运行 的 基础 是 商家 对 消费 
者 信息 保密 的 承诺 ,这 就 有 利于 商家 而 不 利于 消费 者 。 在 电子 商务 初级 阶段 ,由 于 运作 电子 
商务 的 企业 大 多 是 信誉 较 高 的 大 公司 ,因此 这 问题 还 没有 充分 暴露 出 来 。 但 随 着 电子 商务 
的 发 展 , 各 中 小 型 公司 也 参与 进来 ,这 样 在 电子 支付 过 程 中 的 单一 认证 问题 就 越 来 越 突 出 。 
虽然 在 SSL3. 0 中 通过 数字 签名 和 数字 证 书 可 实现 浏览 器 和 Web 服务 器 双方 的 身份 验证 ， 
但 是 SSL 协议 仍 存在 一 些 问题 ,比如 ,只 能 提供 交易 中 客户 与 服务 器 间 的 双方 认证 ,在 涉及 
多 方 的 电子 交易 中 ,SSL 协议 并 不 能 协调 各 方 的 安全 传输 和 信任 关系 。 在 这 种 情况 下 ,Visa 
和 MasterCard 两 大 信用 卡 公 组 织 制定 了 SET 协议 ,为 网 上 信用 卡 支付 提供 了 全 球 性 的 
标准 。 

3. HTTPS(Secure Hypertext Transfer Protocol) 安 全 超 文本 传输 协议 

它 是 由 Netscape 开发 并 内 置 于 其 浏览 器 中 ,用 于 对 数据 进行 压缩 和 解压 操作 ,并 返回 
网 络 上 传送 回 的 结果 。HTTPS 实际 上 应 用 了 Netscape 的 完全 套 接 字 层 (SSL) 作 为 HTTP 
应 用 层 的 子 层 (HTTPS 默认 使 用 端口 443) 。SSL 使 用 40 位 关键 字 作 为 RC4 流 加 密 算法 ， 
这 对 于 商业 信息 的 加 密 是 合适 的 。HTTPS 和 SSL 支持 使 用 X. 509 数字 认证 ,如 果 需 要 的 
话 用 户 可 以 确认 发 送 者 是 谁 。 

HTTPS 是 以 安全 为 目标 的 HTTP 通道 ,简单 讲 是 HTTP 的 安全 版 。 即 HTTP 下 加 
入 SSL 层 ,HTTPS 的 安全 基础 是 SSL。 也 就 是 说 它 的 主要 作用 可 以 分 为 两 种 : 一 种 是 建 
立 一 个 信息 安全 通道 来 保证 数据 传输 的 安全 ; 另 一 种 就 是 确认 网 站 的 真实 性 。 


8.7 ”SSL VPN 与 IPSec VPN 安全 比较 


随 着 SSL VPN 应 用 的 逐渐 加 温 , 越 来 越 多 的 企业 开始 采纳 SSL VPN 的 网 络 架构 ,来 
解决 企业 的 远程 访问 需求 。 但 是 自然 有 许多 的 观望 者 质疑 SSL VPN 的 安全 性 和 网 络 的 兼 
容 性 。 对 于 网 络 的 兼容 性 ,由 于 IPSec 和 SSL 采取 Internet 网 络 中 的 不 同 网 络 层 来 进行 安 
全 加 密 处 理 , 以 建立 网 络 安全 通道 ,因此 在 网 络 的 安全 管理 等 级 上 ,各 有 所 长 。 以 下 分 别 从 
不 同 的 角度 来 探讨 这 两 种 VPN 应 用 的 安全 区 别 。 

(1) 安全 通道 方面 。IPSec 和 SSL 这 两 种 安全 协议 ,都 有 采用 对 称 式 和 非 对 称 式 的 加 
密 算法 来 执行 加 密 作 业 。 在 安全 的 通道 比较 上 ,并 没有 谁 好 谁 坏 之 差 , 仅 在 于 应 用 上 的 不 
同 。 例 如 美国 的 一 家 系统 公司 提供 了 四 所 医院 及 其 相关 医疗 单位 的 网 络 系统 和 技术 服务 ， 
采用 了 SSL VPN 系统 给 500 位 医生 和 诊所 ,可 以 从 远程 来 执行 医疗 操作 系统 ,查询 和 更 新 
病人 的 所 有 数据 ,但 是 他 们 仍然 采用 IPSec VPN 来 连接 医院 之 间 点 对 点 的 网 络 。 

(2) 认证 和 权限 控制 管理 方面 。IPSec 使 用 数字 凭证 或 是 一 组 密 钥 来 做 认证 ,而 SSL 
仅 能 使 用 数字 凭证 ,如 果 都 是 采取 数字 凭证 来 认证 ,两 者 在 认证 的 安全 等 级 上 就 没有 太 大 的 
差别 。SSL 的 认证 ,大 多 数 的 厂商 都 会 建 置 硬件 的 标志 ,来 提升 认证 的 安全 性 。 对 于 使 用 
权限 的 控 管 ,IPSec 可 以 支持 选择 ,让 网 络 封包 过 滤 以 阻隔 某 些 特定 的 主机 或 应 用 系统 。 
SSL 可 以 设 定 不 同 的 使 用 者 ,执行 不 同 的 应 用 系统 , 它 在 管理 和 设 定 上 比 IPSec 简单 方便 
许多 。 

(3) 安全 测试 方面 。IPSec VPN 已 经 有 多 年 的 发 展 , 有 许多 的 学 术 和 非 营利 实验 室 , 提 
供 各 种 测试 准则 和 服务 ,大 多 数 的 防火 墙 `VPN 厂商 ,都 会 以 通过 它 的 测试 及 认证 为 重要 的 
基准 。 但 SSL VPN 在 这 方面 ,尚未 有 一 个 公正 的 测试 准则 。 

(4) 应 用 系统 的 攻击 方面 。 远 程 用 户 以 IPSec VPN 的 方式 与 公司 内 部 网 络 建立 联机 
之 后 ,内 部 网 络 所 连接 的 应 用 系统 ,都 是 可 以 侦 测 得 到 的 ,这 就 提供 了 黑客 攻击 的 机 会 。 若 
是 采取 SSL VPN 来 联机 ,因为 是 直接 开启 应 用 系统 ,并 没 在 网 络 层 上 连接 ,黑客 不 易 侦 测 
出 应 用 系统 内 部 网 络 ,所 受到 的 威胁 也 仅 是 所 联机 的 这 个 应 用 系统 ,攻击 机 会 相对 就 减少 。 

(5) 病毒 人 侵 方 面 。 一 般 企 业 在 Internet 入 口 处 都 会 采取 适当 的 防毒 侦 测 措施 。 不 论 
是 IPSec VPN 或 SSL VPN 联网 ,对 于 入 口 的 病毒 侦 测 效果 是 相同 的 ,但 是 比较 从 远程 客户 
端 入 侵 的 可 能 性 ,就 会 有 所 差别 。 采 用 IPSec 联网 ,若是 客户 端 计算 机 遭 到 病毒 感染 ,这 个 
病毒 就 有 机 会 感染 到 内 部 网 络 所 连接 的 每 台 计算 机 。 相 对 于 SSL VPN 的 联网 ,所 感染 的 
可 能 性 会 局 限于 这 台 主 机 ,而 且 这 个 病毒 必须 是 针对 应 用 系统 的 类 型 ,不 同类 型 的 病毒 是 不 
会 感染 到 这 台 主 机 的 。 

(6) 防火 墙 上 的 通信 端口 方面 ,在 TCP/IP 的 网 络 架 构 上 ,各 式 各 样 的 应 用 系统 会 采取 不 
同 的 通信 协议 ,并 且 通 过 不 同 的 协议 来 作为 服务 器 和 客户 端 之 间 的 数据 传输 通道 。 以 E-mail 
系统 来 说 ,发 信和 收 信 一 般 都 是 采取 SMTP 和 POP3 协议 ,而 且 两 种 协议 都 采用 port 25 , 若 
是 从 远程 计算 机 来 连接 E-mail 服务 器 ,就 必须 在 防火 墙 上 开放 port 25, 和 否则 远程 计算 机 是 
无 法 与 SMTP 和 POP3 主机 沟通 的 。IPSec VPN 联机 就 会 有 这 个 困扰 和 安全 顾虑 。 在 防 
火 墙 上 ,每 开启 一 个 端口 ,就 多 一 个 黑客 攻击 机 会 。 反 观 之 ,SSL VPN 就 没有 这 方面 的 困 
扰 。 因 为 在 远程 主机 与 SSL VPN 网 关 之 间 ,采用 SSL 通信 端口 (port 443) 来 作为 传输 通 
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道 , 这 个 通信 端口 一 般 是 作为 Web Server 对 外 的 数据 传输 通道 ,因此 ,不 需 在 防火 墙 上 做 任 
何 修改 ,也 不 会 因为 不 同 应 用 系统 的 需求 ,而 来 修改 防火 墙 上 的 设 定 , 减 少 IT 管理 者 的 
困扰 。 

IPSec VPN 和 SSL VPN 这 两 种 VPN 架构 ,从 整体 的 安全 等 级 来 看 ,都 能 够 提供 安全 
的 远程 登录 服务 。 但 综 上 所 述 ,SSL VPN 的 易于 使 用 性 及 安全 层级 都 比 IPSec VPN 高 。 
我 们 都 知道 ,由 于 Internet 的 迅速 扩展 ,针对 远程 安全 登录 的 需求 也 日 益 提升 。 对 于 使 用 者 
而 言 ,方便 安全 的 解决 方案 才能 真正 符合 需求 。 


8.8 ”VPN 技术 应 用 案例 


8.8.1 大 学 校园 网 VPN 技术 要 求 


(1) 身份 验证 。 由 于 已 经 有 了 自己 的 统一 身份 认证 系统 , 故 在 VPN 方案 中 ,对 用 户 的 
身份 认证 必须 使 用 已 经 存在 的 用 户 信 息 数据 ,或 是 直接 与 该 校 统一 身份 认证 系统 对 接 进行 
认证 。 

(2) 加 密 保护 。 要 求 对 VPN 隧道 建立 和 用 户 通 信和 都 能 进行 加 密 , 支 持 预 共享 密 钥 、 数 
字 证 书 的 身份 认证 ,提供 动态 密 钥 交 换 功能 ,支持 IPSec 隧道 模式 封装 和 传输 模式 封装 , 支 
持 多 种 加 密 认证 算法 。 加 密 速度 快 ,能 达到 千 兆 通信 ,VPN 转发 能 达到 200Mb/s 以 上 。 

(3) 方便 安全 的 管理 。 要 求 在 管理 上 能 有 多 种 方式 。 提 供 本 地 网 络 管理 telnet 管理 、 
远程 管理 等 多 种 管理 方式 ,在 以 上 方式 中 能 对 VPN 安全 策略 .访问 控制 策略 等 进行 调整 。 

(4) DHCP 支持 。 要 求 能 给 每 一 个 接 入 VPN 的 用 户 动态 分 配 一 个 校内 IP 地 址 ,地 址 
池 能 在 2000 个 IP 以上。 并 且 得 到 的 该 地 址 可 以 与 校内 资源 进行 通信 。 

(5) 多 种 用 户 环境 支持 。 支 持 专 线 宽带 接 入 、 小 区 宽带 接 入 、ADSL 宽带 接 入 、CABLE 
MODEM 宽带 接 人 ISDN 拨号 接 入 .普通 电话 拨号 接 人 .GPRS 接 入 .CDMA 接 入 等 多 种 因 
特 网 接 人 方式 。 

(6) VPN 星 状 互联 。 由 于 许多 大 学 有 多 个 校区 , 且 各 校区 可 能 有 自己 的 VPN( 或 者 本 
校区 建 不 止 一 个 VPN) ,在 VPN 建设 中 希望 能 将 各 VPN 互联 ,用 户 可 拨 入 一 VPN 而 共享 
其 他 校区 资源 。 

(7) 本 地 网 络 和 VPN 网 络 智能 判断 。 能 根据 客户 端的 访问 请 求 ,自动 选择 使 用 客户 本 
地 连接 还 是 使 用 VPN 连接 。 同 时 ,学 校 有 部 分 资源 实际 上 放 在 校外 ,但 必须 是 以 该 校 IP 
地 址 才能 访问 。 

(8) 连通 性 要 求 。VPN 接 入 用 户 之 间 、VPN 接 入 用 户 和 远程 网 络 中 的 用 户 间 都 可 以 
通过 虚拟 得 到 的 IP 地 址 互相 通信 。 

(9) 应 用 范围 广 。 可 在 VPN 用 户 与 远程 局 域 网 之 间 应 用 多 种 业务 。 如 语音 、 图 像 和 数 
据 库 、 游 戏 等 应 用 ,也 可 通过 共享 等 方式 访问 其 他 计算 机 资源 。 

(10) 符合 国家 相关 法 律 .标准 和 安全 要 求 。 各 VPN 设备 必须 符合 我 国 的 技术 标准 和 
安全 标准 。 

(11) 系统 可 升级 性 。 可 以 通过 对 VPN 系统 升级 来 适应 新 的 网 络 应 用 或 是 VPN 上 相 
关 协 议 或 标准 的 升级 。 


8.8.2 某 理 工大 学 校园 网 VPN 使 用 指南 


首先 登录 VPN 服务 网 站 http:// melon. dlut. edu. cn/ ,使 用 本 人 学 校 邮 箱 ( 以 @dlut. 
edu. cn 后 级 结尾 ) 用 户 名 及 密码 ,获取 当日 VPN 密码 。 当 日 该 密码 只 在 当天 有 效 , 如 忘记 
可 到 VPN 服务 网 站 按照 上 述 方法 操作 ,将 提示 当日 密码 。 第 二 天 (以 零点 为 准 ) 需 重新 生 
成 当日 密码 ,用 新 密码 连接 。 登 录 界 面 如 图 8. 5 所 示 。 


t 


和 您 今天 第 一 次 申请 YPN 服 务 
您 今天 的 WN 服务 密码 为 : uxzaHRIY 
请 按照 -理工 大 学 校园 网 VPN 服务 操作 指南 设置 连接 YPN 服务 


图 8.5 VPN 服务 界面 


当 需 要 访问 校内 资源 时 ,就 可 以 使 用 当日 密码 ,连接 校园 网 VPN 了 。 在 连接 之 前 要 确 
认 自 己 的 主机 可 以 正常 接 入 到 Internet 中 ,如 果 主 机 不 能 正常 上 网 是 无 法 使 用 VPN 的 。 
一 次 使 用 校园 网 VPN 需要 建立 VPN 连接 ,方法 如 下 : 右 击 “网 上 邻居 ”图 标 , 选 择 “ 属 性 ” 间 
项 ,将 打开 “网 络 连 接 ” 窗 口 。 在 该 窗口 左 侧 选择 “网 络 任务 ”一 “创建 一 个 新 的 连接 * ei 
动 “新 建 连接 向 导 ”, 如 图 8.6 所 示 。 


欢迎 使 用 新 建 连接 向 导 
此 向 导 格 秋 助 你 


* 连接 到 Internet。 
。 连接 到 | 专用 网 络 ， 例 如 您 的 办 公 网 络 。 


* 设置 一 个 家 庭 或 小 型 办 公司 络 。 


要 这 接 到 | 无 线 网 络 ， 请 查看 又 癌 六 的 无 恒 网 红 . 


要 继续 ,请 单 击 “ 下 一 步 ”。 


上 一 步 @B) | 下 一 步 如 职 消 


图 8.6 新 建 连接 向 导 


单 击 “ 下 一 步 ” 按 钮 ,选择 网 络 连 接 类 型 ,这 里 需要 选择 “连接 到 我 的 工作 场所 的 网 络 ”， 
连接 到 一 个 商业 网 络 ( 拨 号 或 者 VPN) ,如 图 8.7 所 示 。 

单 击 “ 下 一 步 ” 按 钮 ,选择 “虚拟 专用 网 络 连 接 ”, 即 使 用 VPN 通过 Internet 连接 到 网 络 ， 
如 图 8.8 所 示 。 

单 击 “下 一 步 ” 按 钮 ,要 求 输入 连接 名 ,输入 方便 自己 记忆 的 名 字 即 可 ,这 里 给 连接 命名 
为 “dlut vpn”。 单 击 “ 下 一 步 ” 按 钮 ,设置 共用 网 络 , 选 择 “ 不 拨 初 始 连 接 ”, 单 击 “ 下 一 步 ” 按 


二 


地 co 加 


网 络 安 会 与 管理 


新 建 连接 向 导 


你 想 做 什么 ? A) 


也 


个 连接 到 Interaet (C) 
连接 到 Internet ,这 样 修 就 可 以 浏览 Yeb 或 阅 志 电子 邮件 。 
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三 设置 家 庭 或 小 型 办 公 网 络 (5) 
连接 到 一 个 现 有 的 家 庭 或 小 型 办 公 网 络 ， 或 者 设置 一 个 新 的 。 
三 设置 高 级 连接 于) 
口 ,串口 口 直接 连接 到 其 它 计算 机 ， 或 设置 此 计算 机 使 其 它 


和 连 瑟 到 和 的 了 攻 场 所 的 网络 
天仙 业 网 (使用 岳 呈 或 YE) ,这样 作 下 可 以 在 家 里 或 者 基地 


新 建 连接 向 导 


网 络 连接 > 
您 想 要 在 工作 点 如 何 与 网 络 连接 ? | 


创建 下 列 爱 接 : 


个 撤 号 连接 @) 
Ei 或 通过 综合 业务 数字 网 CSDN) 电 话 线 连 


人 三 执 专用 网 结 连 接 ] 
便 用 庶 执 专用 网 络 WF 攻 通过 Tnternet 注 按 到 网 络 。 


《上 一 步 四 取消 


图 8.7 连接 到 我 的 工作 场所 的 网 络 


mm | 


钮 ,输入 VPN 服务 器 地 址 
所 示 。 


图 8.8 虚拟 专用 网 络 连 接 


,校园 网 VPN 服务 器 的 地 址 为 “vpn. dlut. edu. cn”, 如 图 8. 9 


单 击 “ 下 一 步 "按钮 ,显示 正在 完成 新 建 连接 向 导 ,选择 "在 我 的 桌面 上 添加 一 个 到 此 连 


接 的 快捷 方式 ”, 然 后 单 击 "5 


完成 按钮 ,这样 就 完成 了 VPN 连接 的 建立 。 这 时 会 出 现 “ 连 接 


到 dlut vpn” 窗 口 ,在 此 窗口 中 输入 邮箱 的 用 户 名 和 从 VPN 服务 网 页 上 获得 的 当日 密码 ,如 
图 8. 10 所 示 。 然 后 单 击 “ 连 接 ” 按 钮 即 可 连接 到 校园 网 VPN 服务 器 ,这 时 就 可 以 访问 校内 


资源 。 因 为 每 天 VPN 的 当 


日 密码 都 要 重新 生成 ,所 以 不 要 勾 选 “为 下 面 的 用 户 保存 用 户 和 


密码 ”来 保存 用 户 名 和 密码 。 


在 第 一 次 建立 完 VPN 
vpn 快捷 键 图 标 ,就 可 以 打 了 


连接 后 ,以 后 连接 不 需要 再 建立 连接 ,只 需要 双击 桌面 上 的 dlut 
开 连 接 窗口 。 或 者 通过 右 击 选择 “网 上 邻居 ”一 “属性 ”一 “网 络 连 


接 ” 窗 口 ,双击 其 中 “虚拟 专业 网 络 ” 下 的 dlut vpn 连接 ,打开 连接 窗口 。 然 后 在 连接 窗口 中 
输入 邮箱 用 户 名 和 当日 密码 ,就 可 以 再 次 连接 。 


新 建 连接 向 导 


WPF 服务 器 选择 
YEN 服务 器 的 名 称 或 地 址 是 什么 ? | 


输入 您 正 连接 的 计算 机 的 主机 名 或 IP 地 址 。 


主机 名 或 IP 地 址 (例如 ,nicrosoft. com 或 157.54.0.1) QD): 
an at edu en| 


用 记名 :test 
密码 纪 ): [reo] 


1 厂 为 下 面 用 户 保存 用 户 各 和 密码 8): 
| REC 
:ff 任何 使 用 比 i 证 午 机 Bj 人 


‘+t-sw [Fsw)] ma | 取消 “| _ 层 性 中 | ， 帮助 中 


图 8.9 输入 VPN 服务 器 地 址 图 8.10 输入 用 户 和 当日 密码 


当 不 再 访问 校园 网 资源 时 请 双击 右 下 角 任 务 栏 中 的 dlut vpn 连接 ,弹出 “dlut vpn 状 
态 ” 窗 口 , 单 击 “ 断 开 ” 按 钮 , 断 开 校 园 网 VPN 的 连接 。 

如 果 不 及 时 断 开 ,可 能 会 影响 其 他 网 络 访问 。 并 且 由 于 目前 校园 网 VPN 负载 能 力 有 
限 , 所 以 对 每 个 用 户 每 天 使 用 的 时 间 限 定 在 2 小 时 ,不 及 时 断 开 将 一 直 记录 使 用 时 间 。 如 果 
当天 再 需要 访问 校内 资源 时 ,可 能 已 经 超出 了 时 间 限 定 而 无 法 访问 。 在 VPN 服务 网 站 生 
成 当日 密码 处 可 以 查看 当日 使 用 时 间 , 当 日 使 用 时 间 超 出 2 小 时 ,将 无 法 连接 VPN ,请 不 要 
再 做 过 多 的 连接 尝试 。 


课 后 习题 
选择 题 
1 ) 协 议 主要 用 于 加 密 机 制 。 
A. HTTP B. FTP C. TELNET D. SSL 


2. 身份 认证 的 主要 目标 包括 : 确保 交易 者 是 交易 者 本 人 ,避免 与 超过 权限 的 交易 者 进 
行 交易 和 (  )。 


A. 可 信 性 B. 访问 控制 C. 完整 性 D. 保密 性 

3. 阻止 非法 用 户 进入 系统 使 用 ( 党 

A. 病毒 防御 技术 B. 数据 加 密 技术 

C. 接 人 控制 技术 D. 数字 签名 技术 

4. HTTPS 是 使 用 以 下 哪 种 协议 的 HTTP? ( We 

A. SSL B. SSH C. Security D. TCP 

5. 属于 第 二 层 的 VPN 隧道 协议 有 ( )'s 

A. IPSec B. PPTP C. GRE D. HTTP 

填空 是 
1. ( ，) 是 一 种 通过 使 用 互联 网 络 的 基础 设施 在 网 络 之 间 传 递 数据 的 方式 。 章 


VPN 靶 术 


2. 第 2 层 隧道 协议 对 应 于 OSI 模型 的 ( ) ,使 用 ( ) 作 为 数据 交换 单位 。 
3. 第 3 层 隧道 协议 对 应 于 OSI 模型 的 ( ) ,使 用 ( ) 作 为 数据 交换 单位 。 
4. IPSec 隧道 模式 属于 ( ) 协 议 ,是 将 IP 包 封 装 在 附加 的 IP 包头 中 ,通过 IP 网 络 


5. VPN 中 密 钥 的 分 发 有 两 种 方法 : 一 种 是 通过 ( 。 “) 方 式 , 另 一 种 采用 ( ”) 动 态 分 


6. 认证 技术 防止 数据 的 ( ) 和 ( ) , 它 采 用 一 种 称 为 “摘要 ”的 技术 。 
7. IPSec 安全 体系 包括 3 个 基本 协议 :( ) 协 议 为 IP 包 提 供 信息 源 验证 和 完整 性 
保证 ; ( ) 协 议 提供 加 密 机 制 ;( ) 提 供 双方 交流 时 的 共享 安全 信息 。 
8. 加 解密 过 程 需要 两 把 不 同 的 密 钥 ,一 把 用 来 产生 数字 签名 和 加 密 数 据 , 另 一 把 用 来 
验证 数字 签名 和 对 数据 进行 解密 ,这 种 叫 ( ) 法 。 
9. 最 常用 的 两 种 hash 函数 是 ( ) 和 ( ) 
10. 当 一 个 数据 传输 通道 的 两 个 端点 被 认为 是 可 信 的 时 候 , 可 以 选择 ( )VPN 解决 
方案 。 
11. SSL 协议 位 于 ( ) 协 议 与 各 种 ( ) 协 议 之 间 ,为 数据 通信 提供 安全 支持 。 
1 ) 是 以 安全 为 目标 的 HTTP 通道 ,简单 讲 是 HTTP 的 安全 版 。 
简 答 题 
. 什么 是 虚拟 专用 网 ? 
. VPN 的 基本 功能 有 哪些 ? 
. VPN 所 需 的 安全 技术 有 哪些 ? 
. 通过 隧道 的 建立 ,可 实现 哪些 功能 ? 
.IPSec 的 安全 特性 有 哪些 ? 
.IPSec 的 好 处 有 哪些 ? 
. VPN 的 分 类 有 哪些 ? 
. SSL 协议 提供 的 服务 主要 有 哪些 ? 
. 安全 超 文 本 传输 协议 (HTTPS) 的 作用 是 什么 ? 
10. SSL VPN 与 IPSec VPN 安全 有 哪些 ? 
11. 校园 网 VPN 技术 要 求 包括 哪些 方面 ? 


CoN i 


第 9 章 网 络 安全 解决 方案 设计 


9.1 网 络 安全 方案 概念 


网 络 安全 方案 可 以 被 看 做 一 张 施工 的 图 纸 ,图 纸 的 好 坏 ,直接 影响 到 工程 的 质量 。 总 的 
来 说 ,网 络 安全 方案 涉及 的 内 容 比较 多 ,比较 广 , 比 较 专业 和 实际 。 

对 于 一 名 从 事 网 络 安全 的 人 来 说 ,网 络 必 须 有 一 个 整体 和 动态 的 安全 概念 。 对 于 方案 
设计 者 ,在 整个 项 目 中 要 有 整体 把 握 的 能 力 ,不 能 只 关注 自己 熟悉 的 某 一 领域 ,而 对 其 他 领 
域 毫 不 关心 ,甚至 不 理解 ,这 样 将 写 不 出 好 的 安全 方案 。 

因为 写 出 来 的 方案 ,就 是 要 针对 用 户 所 遇 到 的 问题 ,用 已 知 的 产品 和 技术 去 解决 ,设计 
人 员 只 有 对 安全 技术 有 很 深 的 了 解 ,对 网 络 产品 有 全 面 的 接触 ,设计 出 来 的 安全 方案 才能 更 
加 接近 用 户 的 实用 要 求 。 


9.2 评价 网 络 安全 方案 的 质量 


一 份 网 络 安全 方案 需要 从 以 下 8 个 方面 来 把 握 : 

(1) 体现 唯一 性 。 由 于 安全 的 复杂 和 特殊 ,唯一 性 是 评估 安全 方案 最 重要 的 一 个 标准 。 
实际 中 ,每 一 个 特定 网 络 都 是 唯一 的 ,需要 根据 实际 情况 来 处 理 。 

(2) 对 安全 技术 和 安全 风险 有 一 个 综合 把 握 和 理解 ,包括 现在 和 将 来 可 能 出 现 的 所 有 
情况 。 

(3) 对 用 户 的 网 络 系统 可 能 遇 到 的 安全 风险 和 安全 威胁 ,结合 现 有 的 安全 技术 和 安全 
风险 ,要 有 一 个 合适 .中肯 的 评估 ,不 能 夸大 ,也 不 能 缩小 。 

(4) 对 症 下 药 。 用 相应 的 安全 产品 、 安 全 技术 和 管理 手段 ,降低 用 户 网 络 系统 当前 可 能 
过 到 的 风险 和 威胁 ,消除 风险 和 威胁 的 根源 ,增强 整个 网 络 系统 抵抗 风险 和 威胁 的 能 力 , 增 
强 系统 本 身 的 免疫 力 。 

(5) 方案 中 要 体现 出 对 用 户 的 服务 支持 ,这 是 很 重要 的 一 部 分 。 因 为 产品 和 技术 都 将 
体现 在 服务 中 ,用 服务 来 保证 质量 和 提高 质量 。 

(6) 在 设计 方案 时 ,要 明白 网 络 系统 安全 是 一 个 动态 的 .整体 的 和 专业 的 工程 ,不 能 一 
步 到 位 解决 用 户 所 有 的 问题 。 

(7) 方案 出 来 后 ,要 不 断 和 用 户 进行 沟通 ,能 够 及 时 得 到 他 们 对 网 络 系统 在 安全 方面 的 
要 求 ,期望 和 所 过 到 的 问题 。 

(8) 方案 中 所 涉及 的 产品 和 技术 都 要 经 得 起 验证 ,推荐 和 实施 , 既 要 有 理论 根据 ,也 要 
有 实际 基础 。 


网 络 安 会 与 管理 


9.3 网络 安全 方案 的 框架 


总 体 上 说 ,一 份 安全 解决 方案 的 框架 涉及 概要 安全 风险 分 析 、 实 际 安全 风险 分 析 、 网 络 
系统 的 安全 原则 .安全 产品 .风险 评估 和 安全 服务 6 大 方面 ,可 以 根据 用 户 的 实际 需求 取舍 
其 中 的 某 些 方面 。 


9.4 网 络 安全 需求 分 析 


网 络 安全 的 唯一 性 和 动态 性 决定 了 不 同 的 网 络 需要 有 不 同 的 解决 方案 。 下 面 通过 一 个 
实际 的 案例 ,来 提高 对 安全 方案 设计 的 理解 。 
项 目 名 称 : 腾飞 科技 集团 公司 (公司 名 为 虚构 ) 网 络 信息 系统 的 安全 方案 建议 书 。 


9.4.1 项 目 要 求 


腾飞 科技 集团 在 网 络 安全 方面 提出 以 下 5 个 方面 的 要 求 。 

(1) 安全 性 。 全 面 有 效 地 保护 企业 网 络 系统 的 安全 ,保护 计算 机 硬件 .软件 ,数据 ,网 络 
不 因 偶然 的 或 恶意 破坏 等 原因 唱 到 更 改 、 泄 露 和 丢失 ,确保 数据 的 完整 性 。 

(2) 可 控 性 和 可 管理 性 。 可 自动 和 手动 分 析 网 络 安全 状况 ,适时 检测 并 及 时 发 现 记录 
潜在 的 安全 威胁 ,制定 安全 策略 ,及 时 报警 、 阻 断 不 良 攻 击 行为 ,具有 很 强 的 可 控 性 和 可 管 
理性 。 

(3) 系统 的 可 用 性 。 在 某 部 分 系统 出 现 问 题 时 ,不 影响 企业 信息 系统 的 正常 运行 ,具有 
很 强 的 可 用 性 和 及 时 恢复 性 。 

(4) 可 持续 发 展 。 满 足 腾飞 科技 集团 公司 业务 需求 和 企业 可 持续 发 展 的 要 求 ,具有 很 
强 的 可 扩展 性 和 和 柔韧 性 。 

(5) 合法 性 。 所 采用 的 安全 设备 和 技术 具有 我 国安 全 产品 管理 部 门 的 合法 认证 。 


9.4.2 工作 任务 


该 网 络 安全 项 目的 工作 任务 在 于 以 下 4 个 方面 : 

(1) 研究 该 公司 的 计算 机 网 络 系统 (包括 各 级 机 构 、 基 层 生产 单位 和 移动 用 户 的 广 域 
网 ) 的 运行 情况 (包括 网 络 结构 ,性 能 、 信 息 点 数量 ,采取 的 安全 措施 等 ), 对 网 络 面临 的 威胁 
以 及 可 能 承担 的 风险 进行 定性 与 定量 的 分 析 评 估 。 

(2) 研究 该 公司 的 计算 机 操作 系统 (包括 服务 器 操作 系统 、 客 户 端 操作 系统 等 ) 的 运行 
情况 (包括 操作 系统 的 版 本 、 提 供 的 用 户 权 限 分 配 策略 等 ) ,在 操作 系统 最 新 发 展 趋势 的 基础 
上 ,对 操作 系统 本 身 的 缺陷 以 及 可 能 承担 的 风险 进行 定性 和 定量 的 分 析 和 评估 。 

(3) 研究 该 公司 的 计算 机 应 用 系统 (包括 信息 管理 系统 、 办 公 自 动 化 系统 、Internet/ 
intranet 信息 发 布 系统 等 ) 的 运行 情况 (包括 应 用 体系 结构 、 开 发 工具 、 数 据 库 软 件 和 用 户 权 
限 分 配 策略 等 ) ,在 满足 各 级 管理 人 员 、 业 务 操作 人 员 的 业务 需求 的 基础 上 ,对 应 用 系统 存在 
的 问题 .面临 的 威胁 以 及 可 能 承担 的 风险 进行 定性 与 定量 的 分 析 和 评估 。 


(4) 根据 以 上 的 定性 和 定量 的 评估 ,结合 用 户 需求 和 国内 外 网 络 安全 最 新 发 展 趋势 ,有 
针对 地 制定 该 公司 计算 机 网 络 系统 的 安全 策略 和 解决 方案 ,确保 该 公司 计算 机 网 络 信息 系 
统 安全 可靠 地 运行 。 


9.5 解决 方案 设计 


深度 网 络 安 全 公司 (公司 名 为 虚构 ) 通 过 竞标 ,以 500 万 的 工程 造价 得 到 了 该 项 目的 实 
施 权 。 在 解决 方案 设计 中 需要 包含 以 下 9 个 方面 的 内 容 : 

(1) 施工 方 公司 背景 简介 ， 

(2) 集团 的 安全 风险 分 析 ; 

(3) 完整 网 络 安全 实施 方案 的 设计 ， 

(4) 实施 方案 计划 ， 

(5) 技术 支持 和 服务 承诺 ; 

(6) 产品 报价 ; 

(7) 产品 介绍 ; 

(8) 第 三 方 检测 报告 ; 

(9) 安全 技术 培训 。 


9.5.1 施工 方 公司 背景 简介 


介绍 深度 网 络 安全 公司 的 背景 ,需要 包括 : 公司 简介 、 公 司 人 员 结 构 、 曾 经 成 功 的 案例 、 
产品 或 者 服务 的 许可 证 或 认证 、 被 施工 方 腾飞 科技 集团 实施 网 络 安全 方案 的 意义 。 


9.5.2 安全 风险 分 析 


对 现 有 网 络 物理 结构 的 安全 分 析 。 详 细 分 析 腾 飞 科 技 集团 公司 与 各 分 公司 的 网 络 结 
构 , 包 括 内 部 网 、 外 部 网 和 远程 网 。 

对 网 络 系统 的 安全 分 析 。 详 细 分 析 腾 飞 科 技 集团 公司 与 各 分 公司 的 网 络 的 实际 连接 、 
Internet 的 访问 情况 .桌面 系统 的 使 用 情况 和 主机 系统 的 使 用 情况 , 找 出 可 能 存在 的 安全 
风险 。 

对 网 络 应 用 的 安全 分 析 。 详 细 分 析 腾 飞 科技 集团 公司 与 各 分 公司 的 所 有 服务 系统 以 及 
应 用 系统 , 找 出 可 能 存在 的 安全 风险 。 


9.5.3 解决 方案 


解决 方案 包括 以 下 5 个 方面 : 

(1) 建立 腾飞 科技 集团 公司 系统 信息 安全 体系 结构 框架 ; 
(2) 技术 实施 策略 ; 

(3) 安全 管理 工具 ， 

(4) 紧急 响应 ; 

(5) 灾难 恢复 。 


地 四 


网 络 安 会 解决 方案 谈 计 


9.5.4 实施 方案 
实施 方案 包括 项 目 管理 以 及 项 目 质 量 保证 。 
9.5.5 技术 支持 和 服务 承诺 


包括 技术 支持 的 内 容 和 技术 支持 的 方式 。 

(1) 技术 支持 的 内 容 包 括 : 

@ 安装 调试 项 目 中 所 涉及 的 全 部 产品 和 技术 ; 
@ 安全 产品 以 及 技术 文档 ; 

@ 提供 安全 产品 和 技术 的 最 新 信息 ; 

@ 服务 器 内 产品 免费 升级 。 

(2) 安全 项 目 完成 以 后 提供 的 技术 支持 服务 方式 包括 : 
@ 客户 现场 24 小 时 支持 服务 ; 

@ 客户 支持 中 心 热线 电话 ; 

@ 客户 支持 中 心 E-mail 服务 ; 

@ 客户 支持 中 心 Web 服务 。 


9.5.6 产品 报价 
项 目 所 涉及 全 部 产品 和 服务 的 报价 列表 。 
9.5.7 产品 介绍 


腾飞 科技 集团 公司 安全 项 目 中 所 有 涉及 的 产品 介绍 ,主要 是 使 用 户 清楚 所 选择 的 产品 
是 什么 ,不 用 很 详细 ,但 要 描述 清楚 。 


9.5.8 第 三 方 检测 报告 


由 一 个 第 三 方 的 中 立 机 构 ,对 实施 好 的 网 络 安全 构架 进行 安全 扫描 与 安全 检测 ,并 提供 
相关 的 检测 报告 以 备 存档 。 


9.5.9 安全 技术 培训 


安全 技术 培训 包括 : 

(1) 管理 人 员 的 安全 培训 ; 

(2) 安全 技术 基础 培训 ; 

(3) 安全 攻防 技术 培训 ; 

(4) Windows XP/NT/2000/2003 的 系统 安全 管理 培训 ; 
(5) 安全 产品 的 培训 。 

具体 的 网 络 安全 设计 方案 , 详 见 附录 A。 


课 后 习 题 


简 答题 

. 网络 安全 方案 需要 从 哪 几 个 方面 来 把 握 ? 

. 一 份 安全 解决 方案 的 框架 涉及 哪 几 个 大 方面 ? 

. 企业 在 网 络 安全 方面 一 般 会 提出 哪 几 方 面 的 要 求 ? 
. 网 络 安全 方案 项 目的 工作 任务 是 什么 ? 

解决 方案 设计 中 需要 包含 哪儿 个 方面 的 内 容 ? 

. 技术 支持 方式 有 哪些 形式 ? 

. 安全 技术 培训 一 般 有 哪些 内 容 ? 


A 一 


网 络 安 会 解 闫 方案 谈 计 


地 加 


第 10 章 实验 1 Sniffer 软件 的 使 用 


10.1 实验 目的 及 要 求 


10.1.1 实验 目的 


通过 实验 操作 掌握 Sniffer 软件 的 安装 与 基本 功能 的 使 用 ,对 于 监控 软件 原理 有 一 定 的 
了 解 ,能 够 熟练 使 用 Sniffer 软件 实现 常用 的 监控 功能 。 


10.1.2 实验 要 求 


根据 第 2 章 介绍 的 Sniffer 软件 的 功能 和 步骤 来 完成 实验 ,在 掌握 基本 功能 的 基础 上 ， 
实现 日 常 监控 应 用 ,给 出 实验 总 结 报告 。 


10.1.3 实验 设备 及 软件 


2 台 磁 盘 格式 配置 为 NTFS 的 Windows 2000/XP 操作 系统 的 计算 机 ,局 域 网 环境 、 
FTP 服务 器 、Sniffer Pro 4.7.5 软件 。 


10.1.4 实验 拓扑 
实验 的 拓扑 结构 如 图 10. 1 所 示 。 


PC PC Sniffer Pro 
图 10.1 实验 拓扑 


10.1.5 交换 机 端口 镜像 配置 
以 锐 捷 交 换 机 为 例 ,fa0/2 端口 监控 fa0/10 端口 的 配置 如 下 所 示 : 


Switch 二 en 
Switch #conf t ! 进入 全 局 配置 模式 


Switch(config)# monitor session 1 source interface fastEthernet 0/10 both 
! 设置 被 监控 口 

Switch(config)# monitor session 1 destination interface fastEthernet 0/2 
! 设置 监控 口 

Switch(config)# end 

Switch# wr 

Switch# show monitor session 1 ! 查看 当前 配置 

Switch(config) # no monitor session 1 ! 清除 当前 配置 


10.2 Sniffer 软件 概述 


Sniffer Pro 软件 是 NAI 公司 推出 的 功能 强大 的 协议 分 析 软 件 。 本 实验 利用 Sniffer 


Pro 软件 的 强大 功能 ,解决 网 络 中 的 一 系列 故障 问题 。 


10.2.1 功能 简介 


下 面 给 出 了 Sniffer 软件 的 一 部 分 功能 介绍 ,更 多 功能 的 详细 介绍 可 以 参考 Sniffer Pro 


软件 的 在 线 帮助 。 
(1) 捕获 网 络 流量 进行 详细 分 析 ; 
(2) 利用 专家 分 析 系 统 诊断 问题 ; 
(3) 实时 监控 网 络 活动 ; 
(4) 收集 网 络 利 用 率 和 错误 。 


Sniffer 的 安装 非常 简单 ,执行 setup 安装 程序 后 连续 单 击 “ 确 定 "按钮 即 可 。 第 一 次 运 
行 时 需要 选择 网 卡 , 确 定 从 计算 机 的 哪个 网 卡 上 接收 数据 。 菜 单 中 选择 “文件 ”一 “ 选 定 设 


置 ”, 如 图 10.2 所 示 。 


选择 网 卡 后 才能 正常 工作 。 该 软件 如 果 安 装 在 Windows 98 操作 系统 上 ,Sniffer 可 以 
选择 拨号 适配器 对 罕 带 拨号 进行 操作 。 如 果 安 装 了 EnterNet500 等 PPPOE 软件 ,还 可 以 
选择 虚拟 出 的 PPPOE 网 卡 。 对 于 安装 在 Windows 2000/XP 上 则 无 上 述 功能 ,这 和 操作 系 


统 有 关 。 


图 10. 3 给 出 了 Sniffer Pro 中 快捷 键 的 位 置 。 


选择 设置 | 
选择 监听 的 网 络 接口 : GE) 
晶 - 弹 Loeal 新 建 负 ..- 
mv hccelereted hm Fi 
编辑 下 ) 
革除 友 ) 


可 Tm Loe OFF 


Ce ]_ ww | 


图 10.2 选择 捕获 网 卡 


捕获 面板 快捷 键 ”网 络 性 能 监视 快捷 键 
0 


TER | 
"| 国史 国 国 EEEEame 


图 10.3 快捷 键 
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10.2.2 报 文 捕获 解析 


1. 捕获 面板 

报 文 捕获 功能 可 以 在 报 文 捕获 面板 中 进行 设置 ,如 图 10. 3 所 示 。 按 钮 的 功能 从 左 到 右 
分 别 为 : 捕获 开始 .捕获 暂停 ,捕获 停止 ,停止 并 显示 、 显 示 定义 过 滤器 .选择 过 滤器 等 。 

2. 捕获 过 程 报 文 统计 

在 捕获 过 程 中 可 以 通过 捕获 面板 查看 捕获 报 文 的 数量 和 缓冲 区 的 利用 率 , 如 图 10. 4 
所 示 。 

3. 捕获 报 文 查看 

Sniffer Pro 提供 了 强大 的 分 析 能 力 和 解码 功能 。 如 图 10. 5 所 示 ,对 于 捕获 的 报 文 提供 
了 一 个 专家 分 析 系 统 进行 查看 分 析 , 还 有 解码 选项 及 图 形 和 表格 的 统计 信息 。 


辐 saif5: 专家 ，6354 以 太 网 帧 


汉 测 型 型 


.. [172. 30.37.255] 
CITY-YYY ( [172 [172. 30.37.255] SMB 
CITY-YYY ( [172 WANG-40DCODOABE. .. SHB 
LANLAN ( [172.30... [172.30.37.255] SMB 


PC-200805121109 [172. 30.37.255] SMB 
PC-200805121109 .. YANG-40DCODOABE. .. SHB 
PANG-40DCODSABE [172. 30.37.255] SNB 
ZHAOXIVCHEN 〔 [1. . 。 [172. 30.37.255] SMB 
[119.178. 12. 6] [172.30.36.117] 。 JITTP 
[119.75.213.51] [172. 30.36.233] HTIP 
[121. 194.0. 196] [172. 30.36.130] JITP 
[121.194.0.206] [172. 30. 36. 130] JITTP 
[LIT JTTP 

JTTP 

JTTP 

WP 

2 [17: HTTP 
[121. 194.0.216] [172. 30.36.130] NTIP 


[172. 30.37. 139] HTTP 


| Protocol Dist. 
图 10.4 捕获 过 程 报 文 统 计 面 板 图 10.5 专家 分 析 系统 


4. 专家 分 析 

专家 分 析 系 统 提 供 了 一 个 分 析 平 台 , 对 网 络 上 的 流量 进行 了 一 些 分 析 , 对 于 分 析出 的 诊 
断 结 果 可 以 通过 查看 在 线 帮 助 获得 。 

在 图 10.6 中 ,显示 出 了 在 网 络 中 WINS 查询 失败 的 次 数 及 TCP 重 传 的 次 数 统计 等 内 
容 , 可 以 方便 了 解 网 络 中 高 层 协议 出 现 故障 的 可 能 点 。 

对 于 某 项 统计 分 析 可 以 通过 用 鼠标 双击 此 条 记录 来 查看 其 详细 信息 ,也 可 以 对 详细 信 
息 中 的 每 一 项 做 进一步 查看 。 

5. 解码 分 析 

图 10.7 是 对 捕获 报 文 进行 解码 的 显示 ,通常 分 为 三 部 分 ,目前 大 部 分 此 类 软件 结构 都 
采用 这 种 结构 显示 。 对 于 解码 主要 要 求 分 析 人 员 对 协议 比较 熟悉 ,这 样 才 能 看 懂 解 析出 来 
的 报 文 。 使 用 该 软件 是 很 简单 的 事情 ,要 能 够 利用 软件 解码 分 析 来 解决 问题 的 关键 ,要 对 各 
种 层次 的 协议 了 解 的 比较 透彻 。 工 具 软 件 仅 能 提供 一 个 辅助 分 析 的 手段 。 

对 于 MAC 地 址 ,Sniffer Pro 进行 了 头 部 的 替换 ,如 00e0fc 开头 的 就 替换 成 Huawei, 这 
样 有 利于 了 解 网 络 上 各 种 相关 设备 的 制造 厂商 信息 。 


[ER oo 


2002/6/11 
2002/6/11 19 
2002/6/11 19 
2002/6/11 
2002/6/11 
2002/6/11 15:46 Le 


Too Nany Retransnissions 
YorrResponsive Station 
sive Station 
sive Station 
Nomr Responsive Station 
Sn 55s 52Tas Too Nany Retransnissions 


双击 此 记录 可 以 
查看 详细 信息 


53595q0 se | £mums [im] 


‘2002/8/11 15: 人 :84 TTT ms JiomrResponsive Station 
2002/6/11 15:47;00.738 ns JonrResponsiye Station 
‘2002/6/11 15:47:;00. 885 lms Non-Responsive Station 
2002/6/11 15:47:14.854 《lms YorrResponsive Station 
2002/6/11 15:47:14.854 ns JionrResponsive Station 
2002/6/11 15: 办 :03.475 Zn 43s B55ms Too Nany Retransnissions 
2002/6/11 15:48:05. 478 《ms JonrResponsive Station 


2002/6/11 15:48:44.334 <lns YorrResponsive Station 


Doses 
Symptons 


图 10.6 分 析出 的 结果 


解码 ，1/6354 以 太 网 帧 


ACK=3739357 
ACK=1594453. 
ACK=3739357, 


Destination port 5691 
TCP: Sequence number = 1954833814 
Next expected Seq nunber= 1954835274 


图 10.7 解码 的 显示 


功能 是 按照 过 滤器 设置 的 过 滤 规则 进行 数据 的 捕获 或 显示 。 在 菜单 上 的 位 置 分 别 为 
“捕获 ”一 “定义 过 滤器 和 显示 ”>“ 定 义 过 滤器 ”。 

过 滤器 可 以 根据 物理 地 址 .IP 地 址 和 协议 的 选择 进行 组 合 筛选 。 

统计 分 析 功 能 是 对 于 矩阵 .主机 列表 ,协议 分 类 ,统计 表 等 提供 了 丰富 的 组 合 统计 ,操作 
起 来 比较 简单 ,可 以 很 快 掌握 ,这 里 不 再 详细 介绍 。 


10.2.3 设置 捕获 条 件 


1. 基本 捕获 条 件 

基本 的 捕获 条 件 有 两 种 : 

(1) 链 路 层 捕获 , 按 源 MAC 和 目的 MAC 地 址 进行 捕获 ,输入 方式 为 十 六 进 制 连续 输 
入 ,如 00E0OFC123456 ,参见 图 10. 8。 

(2) IP 层 捕获 , 按 源 IP 和 目的 IP 进行 捕获 。 输 入 方式 为 点 间隔 方式 ,如 10. 107. 1. 1 。 10 
如 果 选 择 IP 层 捕获 条 件 则 ARP 等 报 文 将 被 过 滤 掉 。 章 
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图 10.8 设置 捕获 条 件 


2. 高 级 捕获 条 件 
在 “高 级 "选项 卡 下 ,可 以 编辑 协议 捕获 条 件 , 如 图 10. 9 所 示 。 


图 10.9 设置 高 级 捕获 条 件 


在 协议 选择 树 中 可 以 选择 需要 捕获 的 协议 条 件 , 如 果 什么 都 不 选 , 则 表示 忽略 该 条 件 ， 
捕获 所 有 协议 。 

在 “数据 包 大 小 ”条 件 下 ,可 以 选择 捕获 等 于 、 小 于 、 大 于 某 个 值 的 报 文 。 

在 “数据 包 类 型 "条 件 下 ,可 以 选择 捕获 网 络 上 那些 种 类 的 数据 包 。 

单 击 “ 配 置 文件 "按钮 ,可 以 将 当前 设置 的 过 滤 规 则 进行 保存 ,然后 在 捕获 主 面板 中 , 即 
可 选择 保存 的 捕获 条 件 。 

3. 任意 捕获 条 件 

在 “数据 模式 ”选项 卡 下 ,可 以 编辑 任意 捕获 条 件 , 如 图 10. 10 所 示 。 

用 这 种 方法 可 以 实现 复杂 的 报 文 过 滤 ,但 很 多 时 候 是 得 不 偿 失 ,有 时 截获 的 报 文本 来 就 
不 多 ,还 不 如 自己 看 看 来 得 快 。 


ER 证; 下: 


搞 要 | 地 址 。 数据 模式 | 高 级 | 绥 冲 | 


添加 AD/OR | 绑 定 AD7OR DD TT 添加 MDT 
增加 模式 A) | 。 持 福 福 坊 世 峰值 O) 
记 王 |] 。 了 | 本 村 文件 


图 10.10 编辑 任意 捕获 条 件 


10.2.4 网 络 监 视 功 能 


网 络 监视 功能 能 够 时 刻 监视 网 络 统计 ,网 络 上 资源 的 利用 率 ,并 能 够 监视 网 络 流 量 的 异 
常 状 况 , 这 里 只 介绍 仪表 盘 和 应 用 响应 时 间 , 直 接 使 用 即 可 ,比较 简单 。 


1. 仪 表盘 


仪表 盘 可 以 监控 网 络 的 利用 率 ,流量 及 错误 报 文 等 内 容 。 通 过 应 用 软件 可 以 清楚 看 到 


此 功能 ,如 图 10. 11 所 示 。 


2. 应 用 响应 时 间 


oo 2009 年 4 月 14 日 1615606 
网络 


图 10.11 


仪表 盘 界 面 


Sport Term © Long Tem 


应 用 响应 时 间 (ART) 是 可 以 监视 TCP/UDP 应 用 层 程序 在 客户 端 和 服务 器 响应 时 间 ， 
如 HTTP、FTP、DNS 等 应 用 ,如 图 10. 12 所 示 。 
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10.3 数据 报 文 解 码 详解 


本 节 主 要 对 数据 报 文 分 层 、 以 太 报 文 结构 .IP 协议 解码 分 析 做 简单 的 描述 ,目的 在 于 介 
绍 Sniffer Pro 在 协议 分 析 中 的 功能 作用 并 通过 解码 分 析 对 协议 进一步 了 解 。 


10.3.1 数据 报 文 分 层 


如 图 10. 13 所 示 , 对 于 4 层 网 络 结构 ,其 不 同 层次 完成 不 同 功能 ,每 一 层次 由 众多 协议 
组 成 。 

如 图 10. 14 所 示 ,在 Sniffer Pro 的 解码 表 中 分 别 对 每 一 个 层次 协议 进行 解码 分 析 。 链 
路 层 对 应 DLC; 网 络 层 对 应 IP; 传输 层 对 应 UDP; 应 用 层 对 应 的 是 NETB 等 高 层 协议 。 
Sniffer 可 以 针对 众多 协议 进行 详细 结构 化 解码 分 析 ,并 利用 树 状 结构 良好 地 表现 出 来 。 


Telnet FTP 和 e-mail 等 


Pe Ethertype=0800. size=229B 
TCP 和 UDP 四 太古 4.255] S=[10.65.64.140] LEN=195 ID=4372 
Ea IEN=195 
IPICMP IGMP ss。 Be CWK2 Datagram, 105 bytes (of 173) 
本 1ot MAILSLOT\BROWSE 
设备 驱动 程序 及 接口 卡 昌 BR WSER: Election Force 
图 10.13 4 层 网 络 结构 图 图 10.14 分 层 协议 解码 分 析 


10.3.2 以 太 网 帧 结构 


如 图 10. 15 所 示 , Ethernet 开 以 太 网 帧 类 型 报 文 结构 为 : 目的 MAC 地 址 (6B) 十 源 
MAC 地 址 十 (6B) 上 层 协 议 类 型 (2B) 十 数据 字段 (46 一 1500B) 十 校 验 (4B)。 图 10. 16 为 以 
太 网 帧 结构 的 显示 。 


图 10.15 以 太 网 帧 结构 


Ee DIC Headez 一 一 一 


DDLC: Frame 1 arrived at 16:25:18.0098; frame size is 1514 (05EA hex) bs 
局 DLC:，Destination = Station 0014280B2F04 

DIC: Source 
Ethertype 0800 (IP) 


zaleale# 08 00 45 00 5 .EE 
00000010: 05 dc 2e bc 40 00 36 06 bé 67 76 e4 12 46 ac le VE? 
00000020: 24 b0 00 50 Oc c5 2e da e5 4a ea 34 ee de 50 10 $3 BA 
00000030: 16 d0 c3 4c 00 00 70 fe b9 30 Se 25 d7 89 各 忻 L..p 信 ?7% 
00000040: 84 9b ea 4e 0d 03 c8 cc le 25 ca 7c 4b 52 18 89 贺 赔 .. 妨 2X 吕 隐 1 
00000050: 33 29 91 24 8d cl f0 3b 组 b2 f8 63 d0 b3 ld 09 3)? 峙 ? 搓 炮 谐 
00000060: 69 Ob bf fa 60 Bc 87 ef 2f af 08 26 15 99 11 c8 i. 移 ` 窗 7?7?&. ?14 
nnnnnn7n: 7e 78 1a N7 hh a4 cf 16 f4 RI N9 es3 cf 1h 2f A7 ~x 护 ? 航 司 | /1 
解码 Protocol Dist 


图 10.16 以太 网 帧 结构 的 显示 


Sniffer Pro 会 在 捕获 报 文 的 时 候 自 动 记录 捕获 的 时 间 ,在 解码 显示 时 显示 出 来 ,在 分 析 
问题 时 提供 了 很 好 的 时 间 记 录 。 

源 目的 MAC 地 址 在 解码 框 中 可 以 将 前 3 个 字 节 代表 厂商 的 字段 翻译 出 来 ,方便 定位 
问题 。 例 如 ,网 络 上 2 台 设 备 IP 地 址 设置 冲突 ,可 以 通过 解码 翻译 出 厂商 信息 方便 的 将 故 
障 设备 找到 ,如 00e0fc 为 华为 ,010042 为 Cisco 等 。 如 果 需 要 查看 详细 的 MAC 地 址 ,可 在 
解码 框 中 单 击 此 MAC 地 址 ,在 下 面 的 表格 中 会 突出 显示 该 地 址 的 十 六 进 制 编码 。 

对 于 IP 网 络 来 说 , Ethertype 字段 承载 的 是 上 层 协 议 的 类 型 ,主要 包括 0x800(IP 协 
议 )、0x806(ARP 协议 ) 。 

IEEE 802. 3 以 太 网 报 文 结构 如 图 10. 17 所 示 。 


图 10.17 IEEE 802.3 以 太 网 帧 结构 


图 10. 18 为 [EEE 802. 3SNAP 帧 结构 ,与 Ethernet [不同 的 是 目的 和 源 地 址 后 面 的 字 
段 代表 的 不 是 上 层 协 议 类 型 而 是 报 文 长 度 , 并 多 了 LLC 子 层 。 


日 电 0LC， 一 一 DIC Header ——- 
BDLc 
DDLC Frane 1 arrived at 12.13 38 8609: fraae size is 64 (0040 bex) 
DB DLC Destination = Multicast 0180C2000000. Bridge_Group_Addr 
BDLC: Source = Station Cisco EC9C54 
BDLC: 902.3 length » 38 
Bc 

昌黎 LLC: 一 一 ILC Hesder 一 一 - 


BB ILC DSAP hddress = 42, DSAP IG Bit = 00 (Individual Address) 
- SSAP hddress = 42. SSAP CR Bit = 00 (Comand) 
ILC: Unnunbered frane: UI 


图 10.18 IEEE 802. 3SNAP 帧 结构 


10.3.3 IP 协议 


IP 报 文 结构 为 IP 协议 头 十 载荷 。 其 中 ,对 IP 协议 头 部 的 分 析 是 分 析 IP 报 文 的 主要 内 
容 之 一 。 关 于 IP 报 文 详细 信息 请 参考 相关 资料 。 这 里 给 出 了 IP 协议 首部 的 一 个 结构 , 参 
见 图 10. 19 。 
。 版 本 : 4 一 一 IPv4 
。 首部 长 度 : 单位 为 4 字 节 ,最 大 60 字 节 
TOS: IP 优先 级 字段 
总 长 度 : 单位 字 节 ,最 大 65 535 字 节 
标识 : IP 报 文 标识 字段 
。 标志 : 占 3 比特 ,只 用 到 低位 的 两 个 比特 第 
MF (More Fragment) 10 
MF 二 1, 后 面 还 有 分 片 的 数据 包 章 
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Version = 4. header length = 20 B 
Type of service = 00 
000 = routine 


0 = nornal delay 
0. . = nornal throughput 
0.. = nornal reliability 
0. = ECT bit - transport protocol 
0 = CE bit - no congestion 
Total length = 1500B 
Identification = 11964 
Flags = 4 
1 = don't fragnent 
0 = last fragnent 
Fragnent offset = 0B 
Tine to live = 54 seconds/hops 
Protocol = 6 (TCP) 
Header checksun = B667 (correct) 
Source address = [118.228.18.70] 


Destination address = [172.30.36.176] 
No options 


图 10.19 ”IP 协议 首 部 的 解码 分 析 结 构 


MF 二 0, 分 片 数 据 包 的 最 后 一 个 
DF(Don’t Fragment) 
DF 二 1, 不 允许 分 片 
DF 二 0, 允 许 分 片 
段 偏 移 : 分 片 后 的 分 组 在 原 分 组 中 的 相对 位 置 ,总 共 13 比特 ,单位 为 8 字 节 
寿命 TTL(Time To Live) 丢 弃 TTL=0 的 报 文 
协议 : 携带 的 是 何 种 协议 报 文 
1 : ICMP 
人 CCP 
17; UDP 
89: OSPF 
。 头 部 检验 和 : 对 IP 协议 首部 的 校 验 和 
。 源 IP 地址 : IP 报 文 的 源 地 址 
。 目的 IP 地 址 : IP 报 文 的 目的 地 址 
图 10. 19 为 Sniffer Pro 对 IP 协议 首部 的 解码 分 析 结 构 , 和 IP 首部 各 个 字段 相对 应 ,并 
给 出 了 各 个 字段 值 所 表示 含义 的 英文 解释 。 报 文 协议 (Protocol) 字 段 的 编码 为 6, 代表 TCP 
协议 ,其 他 字段 的 解码 含义 可 以 与 此 类 似 。 只 要 对 协议 理解 的 比较 清楚 ,对 解码 内 容 的 理解 
将 会 变 得 很 容易 。 


10.4 使 用 Sniffer Pro 监控 网 络 流量 


10.4.1 设置 地 址 簿 


如 何 查询 网 关 流量 是 最 为 常用 ,重要 的 查询 之 一 。 
扫描 IP-MAC 对 应 关系 。 这 样 做 是 为 了 在 查询 流量 时 ,能 方便 判断 具体 流量 终端 的 位 
置 。MAC 地 址 不 如 IP 地 址 方便 。 


选择 菜单 栏 中 的 “工具 ”地 址 每 ”, 单 击 左边 的 放大 镜 (Cautodiscovery 扫描 ) 按 钮 ,在 
弹出 的 窗口 中 输入 所 要 扫描 的 IP 地 址 段 ,本 例 输 入 172. 30. 37. 1-172. 30. 37. 255。 单 击 
“好 ”按钮 ,如 图 10. 20 所 示 , 系统 会 自动 扫描 IP-MAC 对 应 关系 。 扫 描 完 毕 后 ,选择 “数据 
库 ” 一 “保存 地 址 每 ,系统 会 自动 保存 对 应 关系 ,以 备 以 后 使 用 。 


[2 字 ” [hwt RS 直 ER ” | 医术 
自动 设置 选项 E 


发 现 选项 

全 TP 地 址 范围 &) 厂 性 现 党 动 的 单位 

从 zso .37 oh 三 室 现 沪 问 点 

到 Es 
个 任意 1 地 址 区 ) 
个 网 络 中 任意 NetBioz 地 址 gg) 
个 任意 IFX 地 址 加 ) 
[有 

ww | 


图 10.20 扫描 的 IP 地址 段 选项 


10.4.2 查看 网 关 流 量 


选择 “网 络 性 能 监视 快捷 键 *>“ 主 机 列表 ”, 选 中 “主机 列表 ”界面 左下 角 的 MAC-IP- 
IPX 中 的 MAC( 为 什么 选择 MAC? 在 网 络 中 ,所 有 终端 的 对 外 数据 ,例如 使 用 QQ、 浏 览 网 
站 、 上 传 下 载 等 行为 ,都 是 各 终端 与 网 关 在 数据 链 路 层 中 进行 的 ) ,如 图 10. 21 所 示 。 其 中 
数据 流量 最 大 的 加 深部 分 就 是 网 关 。 


加 = 从 >、 ====| 


baR2 
Ea 


5 
0 
0 
7| 
0 
中 


XxX 
S 
3 


oooooBo-8o 国 


罗技 
人 


图 10.21 查看 流量 


10.4.3 找到 网 关 的 IP 地 址 


选择 “条 状 图 ”( 本 例 中 网 关 IP 为 172. 30. 37. 1) 。 
172. 30. 37. 1( 网 关 ) 流 量 在 TOP 10 图 中 为 最 高 的 ,如 图 10. 22 所 示 。 右 边 以 网 卡 物 理 
地 址 方式 显示 ,很 容易 定位 终端 所 在 位 置 。 流 量 以 3D 柱 形 图 的 方式 动态 显示 。 本 图 中 | 第 
MAC 地 址 00110911d449e 与 网 关 流 量 最 大 , 且 与 其 他 终端 流量 差距 悬殊 ,如 果 这 个 时 候 网 10 
理 
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络 出 现 问题 ,可 以 重点 检查 此 MAC 地 址 是 否 有 大 流量 相关 的 操作 。 


ETEE 本 


Top 10 Hosts By 字 节 总 数 


0011091044SE 


00142A084F25 
00110340A95D 
上 omeces74576 
国 o010910C249 


=|= |¥|3 |@© EI5| 


0011091D4B1E 
国 o01321730843 


国 oo142A084C5C 


00142A083230 


图 10.22 实时 流量 图 


如 果 要 查看 172. 30. 37. 1( 网 关 ) 与 内 部 所 有 流量 通信 图 ,可 以 选择 “网 络 性 能 监视 快捷 
键 ”, 单 击 “ 和 矩阵 ?按钮 ,如 图 10. 23 所 示 , 网 关 与 内 网 间 的 所 有 流量 都 在 这 里 动态 地 显示 。 


到 10.23 流量 通信 图 


绿色 线条 状态 表示 正在 通信 中 ; 暗 绿色 线条 状态 表示 通信 中 断 。 

线条 的 粗细 与 流量 的 大 小 成 正比 。 

如 果 将 鼠标 移 至 线条 处 ,程序 显示 出 流量 双方 位 置 . 通 信 流 量 的 大 小 (包括 接收 、 发 送 ) 
并 自动 计算 流量 占 当 前 网 络 的 百分比 。 
10.4.4 基于 JIP 层 流量 

(1) 为 了 进一步 分 析 IP 的 异常 情况 ,现在 切换 至 基于 IP 层 的 流量 统计 图 中 。 选 择 菜 
单 栏 中 的 “网 络 性 能 监视 快捷 键 ”“* 主 机 列表 ”, 选 中 * 主 机 列表 ”界面 左下 角 的 MAC-IP- 
IPX 中 的 IP。 

(2) 找到 数据 量 比较 大 的 IP 地 址 172. 30. 36. 84( 可 以 单 击 数据 包 排 序 , 以 方便 查找 )， 
选择 “主机 列表 ”一 “条 状 图 ”, 如 图 10. 24 所 示 。 

(3) 切换 至 “矩阵 ?图 形 下 ,看 它 与 所 有 IP 的 通信 流量 图 ,如 图 10. 25 所 示 。 


可 以 从 172.: 


数据 量 


Top 10 Hosts By 字 节 总 数 
图 172303684 


园 1723036169 
加 1723036230 


昕 aasa2z738 


[lS |@ EIE|M 


轩 22223101.114 


2118.98.130 
加 5964160103 
加 172303661 


区 | [Xl|*= 


图 10.24 基于 IP 层 的 流量 统计 图 


位 置 - 172. 30. 36 


传输 地 图 为 了 172.30.36.84 


图 10.25 172. 30. 36. 84 与 所 有 IP 的 通信 和 


可 能 正在 进行 观看 P2P 类 在 线 视频 的 操作 。 


为 了 进 


(4) 如 图 10. 26 所 示 ， 


30. 36. 68 的 流量 协议 分 布 情况 。 


- 步 证 明 猜 测 ,可 看 172 


能 识别 出 来 协议 ,如 果 提 前 定义 了 协议 类 型 ,这 里 将 会 直接 显现 出 来 。 


协议 | 地 址 | 入 起 数 据 包 | 入 境 字 节 “| 出 运 数 夯 包 | 出 境 字 节 


主 172 D4 359,302 ‘505596,367 0 0 
避 | 其 他 17230.36.169 141.230 128.748,665 0 0 
| 17230.36.230 2315 26813.324 0 0 
HTTP 17230.36.92 21.888 31161022 0 0 
J ls 1723036.59 10614 1.852.925 0 0 
||HTTE 172303661 13857 15.981.800 0 0 
| NetBIOS Ns-u | 172 30 37.255 5863 0 0 
1723035208 6216 0 0 
ee 1723036117 5849 0 0 
1723035120 5266 0 0 
i HE 172303659 4.918 0 0 
x 1723035121 4207 0 0 
上 17230365 3903 0 0 
时 17230.38.83 3819 0 0 
加 ||hre 1723036121 2153 1.767.718 0 0 
去 1723036132 1.952 1632877 0 0 
SIN p KE 


图 10. 26 ”Protocol 类 型 


实验 1 


0. 36. 68 的 通信 图 中 看 到 与 它 建立 IP 连接 的 情况 。 图 10. 24 中 IP 
: 常 大 ,这 对 于 普通 应 用 终端 来 讲 显然 不 是 一 种 正常 的 业务 连接 。 可 以 猜测 ,该 终端 


协议 ”类 型 绝 大 部 分 为 “其 他 ”。 在 Sniffer Pro 中 ,“ 其 他 ”表示 未 
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通过 菜单 栏 中 的 “工具 ”一 选项 ”协议 ”, 在 第 19 栏 中 定义 14405(BT 的 默认 监听 端 
口 ), 取 名 为 bt, 如 图 10. 27 所 示 。 


Hx 
阅 下 | Wc 同 | 应 用 闲 | 警报 。 协议 | 协议 强度 | 


图 10.27 定义 监听 端口 


注意 : 很 多 P2P 类 软件 并 没有 固定 的 使 用 端口 , 且 端 口 也 可 以 自 定 义 , 因 此 使 用 本 方法 
虽然 不 失 为 一 种 检测 P2P 流量 的 好 方法 ,但 并 不 能 完全 保证 其 准确 性 。 具 体 端口 号 可 根据 
实际 情况 进行 调整 。 


10.5 使 用 Sniffer Pro 监控 “广播 风暴 ” 


10.5.1 设置 广播 过 滤器 


打开 Sniffer Pro 后 ,选择 “监视 器 ”一 “定义 过 滤器 "”。 首 先 创建 过 滤器 ,并 将 其 名 定义 
为 Broadcast。 定 义 好 名 称 后 ,选择 地 址 标签 下 的 “已 知 地 址 : (Dragable) ”选择 框 , 从 中 展 
“主机 地 址 ”, 将 其 下 的 “FFFFFFFFFFFF( 广 播 )? 使 用 鼠标 左 键 拖 入 位 置 1 中 或 直接 输入 ， 
如 图 10. 28 所 示 。 


定义 过 涛 器 -监视 器 
摘要 地址 | 数据 模式 | 高 级 | 组 冲 | 
地 址 类 型 : CA) 已 0 的 地 址 : Dragable) 人 E) 
D00155834BS8D (00155834BSE a| 
时 001D09049417 (001D0904941 
时 FFFFFFFFFFFF (广播 ) 
时 oo1D0904983C (po1no90498< | 


图 10.28 新 建 广播 过 滤器 


10.5.2 选择 广播 过 滤器 


同样 在 “监视 器 ?菜单 下 ,选择 "选择 过 滤器 ”, 选 中 刚才 定义 好 的 broadcast, 如 图 10. 29 


所 示 。 


lx 
省 天 | 
选择 过 泌 器 为 了 捕获 : 


缓冲 器 大 小 : 8 Weg 字 节 
缓冲 器 动作 : 隆 羡 frsp) 


图 10.29 选择 广播 过 滤器 


10.5.3 网 络 正常 时 的 广播 数据 


先 通过 Sniffer Pro 提供 的 “仪表 盘 ”" 一 “细节 ”来 查看 ,以 下 分 别 是 广播 包 合 计 统 计 ( 如 


图 10. 30 所 亏 


说 明 : 
(1) 由 了 


S) 广播 包 平均 数 统计 图 (如 图 10. 31 所 示 ) 。 


TE Er © Show Ta © Show Avereye Ralel per second) 
l | 
数据 包 189 |64 字 节 82 |cRc: 0 
Drops 0|65-127 字 节 100 |Runts 0 
厂 播 189 |126-255 字 节 6| 太 大 的 0 
元 点 优 过 四 FT ji 本 0 
16748 |512-1023 字 节 0 |Jabbers 0 
利用 0 |1024-1518 字 节 olM 列 D 
情 误 0 colsion: 0 
标 作 R 细节 


图 10.30 广播 包 合计 统计 


ED ET C Spow aol FShow Avermge Rel per second) 

[EL 
数据 包 8|64 字 节 1|crcs 0 
Drops R 0|65-127 字 节 7 |Runts 0 
FF 手 8|126.255 字 三 0| 夫 大 的 0 
多 点 传送 0|256-511 字 节 0| 研 片 0 
字 节 742 | 512-1023 字 节 0|Jabber 0 
利用 0 1024-1518 字 三 ol 到 L 
铺 误 0 Colisions 0 
标价 尺 细节 


图 10.31 广播 包 平 均 数 统计 图 


F 之 前 定义 好 了 过 滤器 ,现在 所 统计 的 数据 均 为 广播 数据 。 


(2) 在 仪表 盘 详 细 统计 界面 ,除了 统计 网 络 相关 数据 外 ,还 对 数据 包 大 小 分 布 、 错 误 数 


据 包 进行 详细 的 分 类 ,以 供 查 看 。 
(3) 错误 数据 包 捕 获 和 查看 ,需要 专用 网 卡 的 支持 。 
(4) 图 10. 30 为 截止 当前 时 间 ,广播 数据 包 合计 为 189 个 。 
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(5) 图 10. 31 中 显示 当前 每 秒 平均 广播 数据 包 个 数 为 8 个 。 
10.5.4 出 现 广播 风暴 时 ,仪表 盘 变 化 


下 面 来 看 出 现 如 图 10. 32 所 示 拓 扑 的 情况 。 当 虚线 的 网 线 连 接 时 就 会 形成 网 络 环 路 ， 
在 “ 环 路 ”出 现时 就 会 形成 “广播 风暴 ”。 


主 交换 机 Ss 
-i 


接 入 交换 机 组 
图 10.32 网 络 环 路 拓扑 图 


注意 : 

如 图 10. 33 所 示 ,平均 广播 数据 包 / 秒 的 统计 由 刚才 的 8 猛 增 为 2568, 广 播 数据 包 中 的 
字 节 数 也 由 742B/s 增长 为 255 742B/S, 带 宽 占 用 提高 了 1000 倍 ,已 经 影响 了 网 络 的 正常 运 
行 ,应 及 时 查找 数据 包 的 来 源 并 排除 故障 。 


EEC CsowTaal sow Averoge Re per seco!) 


图 10.33 网 络 流量 统计 


10.5.5 通过 Sniffer Pro 提供 的 警告 日 志 系 统 查看 “广播 风暴 ” 


如 图 10. 34 所 示 ,Sniffer Pro 在 “广播 风暴 ”时 的 警告 日 志 。 可 以 通过 “监视 器 ”菜单 下 
的 “警告 日 志 ” 查 看 。 软 件 默认 Broadcasts 为 2000b/s ,超过 设 定 的 阔 值 ,软件 则 会 报警 。 


© Swat 200711-1707.3524 Brosdcasts/s: Curenl wake = .764, High Theshod = 2000 
Stot 2007.11-1707.35:14 Brosdc asts/s: cumenl vahe = 3.992. High Thveshold = 2000 
Brosdcasts/s curenl vobue = 45%, High Theeshold = 2000 


上 St 20071117073504 
© su 200711H17073444 
2 
© 
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Casa 
Ciscy 
St 20071117 呆 3434 Ca Broadcast/r cument vobue = 7.832, Hh Theeshold = 2000 
Diic 
Discd 
Oise 


Siat 2007111707.3424 
S2007111707.3354 
Sts 2007111707.3324 


Broadeasts/s: curent vale » 6.510. High Theeshold » 2000 
Broadeasts/s urent vele = 2.250, Hgh Theeshokd = 2000 
Brode ots/s: cumert voue = .267. High Theeshold = 2 000 


Set ”20711170325 Cited Browdcat/s cument ve 4.993, Hh Fheeshold = 2000 


图 10.34 警告 日 志 系统 


10.5.6 警告 日 志 系 统 修改 


警告 日 志 系 统 默认 阔 值 都 可 以 修改 ,选择 “工具 ”选项 *, 然 后 单 击 “MAC 阔 ? 选 项 卡 
即 可 ,如 图 10. 35 所 示 。 和 软件 提供 了 20 个 可 以 修改 的 项 目 , 如 果 觉 得 利用 率 在 现 有 网 络 
50% 显 得 太 小 ,可 以 将 其 更 改 为 80% (快速 以 太 网 | 
一 般 利 用 率 不 超过 80%)。 而 广播 2000b/s 的 数 。 wom |mmm|wm | wx | ina 应 | 
值 又 显得 太 大 ,都 可 以 在 这 里 做 出 更 改 。 

除了 可 以 修改 默认 阔 值 外 ,在 系统 出 现 警告 
时 ,可 以 选择 通知 方式 甚至 可 以 使 用 Visual Busic 
程序 自 定 义 动作 来 打开 第 三 方程 序 。 比 如 设置 告 
警 音 ,或 者 通过 发 送 电子 邮件 等 方式 通知 网 络 管理 
员 。Sniffer Pro 将 警告 日 志 划 分 为 不 同 级 别 ( 严 
重 、 重 要 ,次 要 警告 .通知 ), 可 以 在 Alarm 选项 卡 
里 做 出 调整 。 图 10.35 ”修改 阅 值 


10.6 使 用 Sniffer Pro 获取 FTP 的 账号 和 密码 


使 用 Sniffer Pro 程序 的 数据 包 分 析 功 能 可 以 方便 .迅速 地 帮助 定位 FTP 的 账号 和 密 
码 。 由 于 FTP 的 账号 和 密码 是 以 明文 的 形式 在 网 络 中 传输 的 ,所 以 可 以 直接 查询 到 结果 。 

(1) 选择 菜单 栏 中 的 “监视 器 "一 "定义 过 滤器 "来 定义 需要 的 过 滤器 。 在 弹出 的 “定义 
过 滤器 "对 话 框 中 选择 “配置 文件 "新建 来 新 建 一 个 过 滤器 ,这 里 取 名 为 FTP, 如 图 10. 36 
所 示 。 选 择 “ 高 级 ”选项 卡 中 IP 协议 下 TCP 协议 下 面 的 FTP 协议 作为 监控 。 


[CRC 错误 
Jabbers 


取消 | 配置 文件 


图 10.36 新 建 一 个 过 滤器 


(2) 单 击 捕获 面板 上 的 “开始 ”按钮 进行 捕获 ,这 时 用 客户 机 进行 FTP 的 登录 ,如 图 10. 37 
所 示 。 选 择 使 用 用 户 名 为 bob, 密 码 为 123 的 用 户 登 录 。 登 录 成 功 后 就 可 以 停止 捕获 。 
(3) 打开 捕获 的 数据 ,在 左下 角 的 标签 上 选择 解码 ,并 在 显示 的 数据 上 面 右 击 , 在 弹出 第 
的 下 拉 菜 单 中 选择 “查找 帧 ”, 如 图 10. 38 所 示 。 10 
(4) 在 弹出 的 对 话 框 中 输入 USER, 并 选择 从 “摘要 文本 ”搜索 ,如 图 10. 39 所 示 。 章 


实验 1 Sniffer 获 件 的 使 用 


Dn 
登录 身份 凤 


KE 服务 器 不 允许 匿名 登录 ， 或 者 不 接受 该 电子 邮件 地 址 。 


IFIP 服务 器 : 172.30.37.250 

用 户 名 中: bob ~ 
害 克 人 D): E27] 

敬 录 后 ,可 以 将 这 个 服务 器 尖 加 到 禾 的 收 送 夹 ,以 便 轻 易 返 回 。 


全 TTIP 格 数 据 发 送 到 服务 器 之 前 不 | 。 要 保护 客 码 和 数 
据 ， 博 用 Web 文件 夹 YabDAV)。 


Learn nore sbout using Wab Foldsrs 
口 匿 名 登录 愉 ) 口 保 存 密码 G) 


[于 bjL ww ] 


图 10.37 登录 FTP 服务 器 
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图 10. 39 在 对 话 框 中 输入 USER 


(5) 如 果 搜 索 到 了 匹配 的 结果 ,就 会 看 到 如 图 10. 40 所 示 的 USER bob 和 PASS 123。 

通过 以 上 几 步 可 以 搜索 到 网 上 发 布 的 所 有 明文 的 用 户 名 和 密码 ,对 于 加 密 的 数据 虽然 
能 够 捕获 到 ,但 会 显示 成 乱码 ,所 以 有 效 地 保护 了 数据 的 安全 性 。 

在 网 络 出 现 故 障 时 ,有 经 验 的 网 络 管理 员 通 常 都 能 够 迅速 发 现 故障 并 加 以 排除 。 但 在 
网 络 日 益 发 展 的 今天 ,网 络 应 用 ,规模 .手段 都 在 急速 膨胀 ,仅仅 依靠 对 环境 的 了 解 和 经 验 显 
然 是 不 够 的 。 因 此 ,使 用 Sniffer Pro 程序 来 处 理 各 类 网 络 问题 ,不 失 为 一 种 快速 有 效 的 
手段 。 


~ 一 


139]|[172.30.37.250]|TCP ACK=828250020 WIN=14600 
220-Microsoft FTP Service 
ACK=828250047 WIN=14573 


220 “BlB1BEA3BBB6D3ADC4E3 7 


R 331 Password required for 0 

[172.30.37.139] Cc 434 PASS 123 64 0 

[172.30.37.250]|[172.30.37.139]|FTP: R PORT=2434 230-<BAC3BAC3> 64 0 

[172.30.37.139]|[172.30.37.250]|TCP: D=21 S=2434 ACK=828250105 WIN=14515|60 0 

[172.30.37.250]| [172.30.37.139]|FTP: R PORT=2434 230 User bob logged in 39 0 

[172.30.37.139]| [172.30.37.250]|FTP Text Data 68 0 
T[172_ AN 37 25Sn1LT172_ 3n 37 13911IFTP-R_PORT=2434 Sn1_nntinn_ nnt_sunnrmteq |AN 四 | 

上 

图 10.40 FTP 的 用 户 名 和 密码 


Sniffer Pro 对 于 网 络 管理 员 在 日 常 网 络 维护 上 有 什么 好 处 ? 
选择 什么 样 的 安装 位 置 有 助 于 Sniffer Pro 获得 更 加 有 用 的 数据 ? 
对 于 加 密 数据 Sniffer Pro 还 有 没有 作用 ? 

Sniffer Pro 能 监控 的 协议 中 ,数据 量 比较 大 的 是 哪些 ? 


实验 1 


Sniffer 款 件 的 使 用 


第 11 章 实验 2 网 路 岗 软 件 的 应 用 


11.1 实验 目的 及 要 求 


11.1.1 实验 目的 


通过 实验 操作 掌握 网 路 岗 软件 的 安装 与 基本 功能 使 用 ,对 于 监控 软件 的 原理 具有 一 定 
的 了 解 。 能 够 实现 常用 的 监控 功能 。 


11.1.2 实验 要 求 


根据 本 教材 中 介绍 的 网 路 岗 软 件 的 功能 和 步骤 来 完成 实验 ,在 掌握 基本 功能 的 基础 上 ， 
实现 日 常 监控 应 用 ,给 出 实验 操作 报告 。 


11.1.3 实验 设备 及 软件 


2 台 安 装 Windows 2000/XP 操作 系统 的 计算 机 ,磁盘 格式 配置 为 NTFS, 局 域 网 环境 、 
ftp 服务 器 、 准 备 网 路 岗 软件 。 


11.1.4 实验 拓扑 
实验 用 的 拓扑 结构 如 图 11. 1 所 示 。 


网 路 岗 软件 
图 11.1 实验 拓扑 


11.2 软件 的 安装 


11.2.1 系统 要 求 


操作 系统 : Windows XP/2000/2003。 

CPU: Pentium 4 或 赛 扬 2. 0GHz 以 上 。 

硬盘 空间 : 建议 硬盘 空闲 空间 不 低 于 10GB。 

监控 机 器 越 多 ,网 络 流量 越 大 ,需要 的 配置 越 高 ,根据 以 往 的 经 验 ,P4 以 上 配置 的 PC 
上 运行 网 路 岗 ,监控 的 在 线 机 器 可 达 500 台 以 上 。 

打开 安装 光盘 ,请 运行 安装 主 监控 程序 Sentry5Corp. exe( 企 业 ) 或 Sentry5School. exe 
(学 校 ) , 主 程序 安装 完毕 后 ,如 果 是 第 一 次 在 本 机 上 安装 "网 路 岗 ? 产 品 , 则 还 需要 安装 光盘 
中 网 路 岗 驱 动 程序 SentryDrv. exe。 


11.2.2 重要 子 目 录 


下 面 介绍 安装 目录 下 几 个 重要 子 目录 ， 

ETC\ 子 目录 存放 与 系统 有 关 的 所 有 配置 文件 ,如 PcInfo. map 是 “基于 网 卡 "网 络 监控 
模式 的 用 户 信息 ,UserInfo. map 是 “基于 账户 ”网络 监控 模式 的 用 户 信息 ,IpInfo. map 是 “ 基 
于 IP” 网 络 监控 模式 的 用 户 信息 。ShareArea. map 存放 的 是 系统 配置 数据 。 

如 果 用 户 想 备份 系统 配置 ,只 需要 备份 ETC 所 有 文件 即 可 。 

CapLog\ 是 系统 默认 的 用 来 存放 监控 日 志 的 目录 (该 日 志 存放 目录 可 由 用 户 自 定义 )。 

CapLog\Activities\ 存 放 的 是 网 络 活动 日 志 。 

CapLog\WebFiles\ 存 放 的 是 外 发 资料 日 志 。 


11.2.3 绑 定 网 卡 


所 谓 绑 定 网 卡 ,也 就 是 选择 从 哪 块 网 卡 抓 通信 和 包 。 如 果 安 装 本 产品 的 计算 机 有 多 块 网 
卡 , 则 用 户 选择 时 须 小 心 ,一 旦 选 错 网 卡 必 网 路 岗 ? 不 但 监视 不 了 任何 信息 ,同时 也 不 能 对 目 
标 机 器 进行 任何 控制 。 选 择 网 卡 如 图 11. 2 所 示 。 

选择 网 卡 时 ,用 户 应 选择 内 网 段 的 网 卡 ,而 国王 
不 能 选择 接 入 Internet 的 网 卡 。 出 现 多 块 内 网 es 9|8 | ewer Mow (wmous] 司 
网 卡 时 ,可 能 需要 用 户 逐 块 选择 并 在 “现场 观察 ” se: [车 FW” 证 ;可 SULANSE 加 
窗口 测试 监控 效果 。 加 过 3 卜 控 口才 路 作 控 代理 上 网 / 同 折 / 软 路 由 / 碟 拟 同 析 等 ) 简 且 

默认 情况 下 ,系统 获取 通信 数据 包 的 网 卡 和 图 11.2 网 卡 选 择 界面 
发 送 封 堵 包 的 网 卡 是 同一 块 ,但 用 户 可 以 通过 设 
置信 息 过 滤 网 卡 ,以 便 系 统 通过 另外 一 块 网 卡 来 发 送 封 堵 包 以 控制 目标 机 器 。 

有 一 种 情况 ,用 户 必须 启用 信息 过 滤 专 用 网 卡 。 当 用 户 设 置 “镜像 端口 ”来 实现 对 数据 
包 监 视 后 ,但 发 现 不 能 和 局 域 网 其 他 机 器 进行 通信 (假定 该 机 器 IP/ 网 关 配 置 正确 ) ,也 就 是 
说 ,所 设置 的 “镜像 端口 ?只 能 接受 通信 和 包 , 而 不 能 发 送 数据 包 , 镜 像 端口 ?是 单 向 的 。 针 对 第 
这 类 情况 ,建议 用 户 再 添 一 块 网 卡 ,作为 “网 路 岗 ? 的 信息 过 滤 专 用 网 卡 。 


11 
章 


实验 2 网 路 前 款 件 的 应 用 


“信息 过 滤 网 卡 ? 在 图 11. 3“ 高 级 设置 "中 配置 ,配置 时 ,用 户 必 须 注意 : 信息 过 滤 网 卡 、 
镜像 端口 和 被 镜像 端口 必须 在 同一 交换 机 的 同一 VLAN 中 。 


两 FE 1 
信息 过 小 专用 网 卡 后 省 为 :none ) 


特别 提示 
只 有 当 用 户 设置 “ 鲁 像 端口 ”的 情况 下 ， 才 考虑 深 先 项 ， 


在 以 往 的 软件 版 本 中 ,用 以 “捕捉 信 息 包 ”的 网 卡 和 实现 


ns 
人 


ee a a “过 尖 专 用 网 卡 " 应 
属于 同一 VA 


[Le] 


图 11.3 信息 过 滤 网 卡 设置 


11.3 选择 网 络 监控 模式 


网 路 岗 提 供 了 多 种 网 络 监控 模式 : 基于 网 卡 /基于 账户 /基于 IP, 一 般 建议 监控 点 在 
500 台 以 下 的 情况 ,选择 基于 网 卡 的 网 络 监 控 模式 。 用 户 测试 监控 效果 时 ,请 不 要 急于 对 被 
监控 机 器 进行 封 墙 ,建议 打开 “现场 观察 "窗口 , 先 观 察 能 否 实时 监控 到 目标 机 器 上 网 站 页 面 
的 情况 。 


11.3.1 启动 监控 服务 


进入 “服务 ”栏目 ,启动 所 有 的 后 台 监控 服务 。( 双 击 要 启动 服务 的 图 标 ), 如 图 11. 4 
所 示 。 


久 此 及 时 


外 发 资料 。 ”数据 交换 “共享 上 网 。 看 管 服务 
* 已 避 动 * 。 * 已 后 动 * + 未 安装 + + 已 后 动 + 


图 11.4 服务 栏目 


11.3.2 检查 授权 状态 


如 果 有 “网 路 岗 ” 并 口 加 密 狗 ,请 接 到 打印 机 并 口 ( 同 一 并 口 不 能 级 联 多 个 加 密 狗 ) ,如 果 
监控 机 上 原来 有 打印 连 线 , 则 需要 取 下 连 线 ,等 接 好 加 密 狗 后 ,再 将 打印 机 线 接 到 加 密 狗 上 。 
如 果 有 “网 路 岗 ”USB 加 密 狗 ,请 在 已 经 安装 软件 后 再 将 其 接 入 USB 捅 槽 ,选择 “继续 安 
装 ”, 则 USB 加 密 狗 驱动 程序 自动 成 功 安装 。 


注意 : 插 USB 加 密 狗 前 ,请 先 运行 本 产品 的 安装 程序 ,如 果 先 插入 USB 加 密 狗 , 青 安 
装 网 路 岗 ,可 能 导致 无 法 获取 加 密 狗 授权 信息 。 

如 果 手 头 上 有 产品 序列 号 , 则 也 可 以 通过 注册 序列 号 来 获得 授权 。 注 册 界 面 如 图 11. 5 
所 示 。 

用 注册 码 注册 时 ,请 务必 不 要 在 多 台 机 器 上 同时 用 一 个 号 码 注册 ,如 果 用 户 要 更 换 机 器 
注册 时 ,必须 在 原来 的 机 器 上 ”取消 本 地 注册 码 ”, 再 在 新 的 机 器 上 注册 。 最 后 ,打开 菜单 “ 帮 
助 ”一 一 “产品 信息 ”, 检 查 授权 的 用 户 数 和 授权 状态 。 


11.3.3 检查 目标 机 器 的 监控 状态 


选择 项 目 “ 监 控 策略 ”>“ 基 于 网 卡 ”, 先 看 看 是 否 有 机 器 信息 ,如 果 没 有 ,用 “搜索 邻居 ” 
功能 试 着 搜索 。 每 台 机 器 的 前 面 可 能 有 下 面 的 小 图 标 ,用 鼠标 直接 单 击 小 图 标 , 其 状态 可 循 
环 改变 ,如 图 11.6 所 示 。 


注册 信息 | 
单位 名 称 ; Poxconn ] 四 
注册 码 | sdsl-1213-3223-1kls-1212 | 例 岂 zhangbing [IF:192. 168 0., 252] [NAC:000AEB4E2EI6] 
| - ] J 辕 Sunfan [IF:192.168.0.18] [WAC:000039D2A173] 
se J 国 DEE-WANG [IP:192. 168.0.222] [WAC:000D8715E573] 
联系 ;|BongLee | 俩 马 ET DT:192.168.0.16] [WAC:;00E018D3C239] 
联系 电话 [0755-2766546 全 更 JOLIN [IP:192. 168.0.6] [WAC:000AE6F0257D] 
国 忆 SERVER [IF:192. 168.0. 1] [MAC: O00AEB21E819] 
电脑 数量 : |5000| | 4 项 轧 CTEDY [TF:192. 188.0,77] [MAC:D00AE6EDA829] 
3 全 辆 COWN-SER [IP:192. 168. 0. 13] [WAC:00OAEBFO25TA] 
注册 】 [取消 渍 声名 1 
图 11.5 注册 界面 图 11.6 检查 目标 机 器 的 监控 状态 


其 中 包 表示 该 机 器 被 监控 , 辆 表 示 该 机 器 不 被 监控 , 久 表示 该 机 器 不 被 监控 但 也 不 
允许 上 网 。 计 算 监控 点 时 ,以 状态 贸 为 一 监控 点 ,超过 用 户 购 买 的 监控 点 时 ,系统 自动 将 
多 余 的 机 器 标记 为 状态 辆 ,如 果 被 测试 的 机 器 是 代理 服务 器 , 则 应 该 选 其 他 机 器 测试 。 


11.3.4 坦 被 监控 的 机 器 上 网 情况 


选择 "文件 ”现场 观察 ”, 在 确保 被 测试 的 机 器 处 于 3 状态 后 ,让 该 机 器 登录 网 站 ， 
比如 www. baidu. com 等 。 并 留意 “现场 观察 "窗口 中 是 否 有 对 应 的 信息 ; 如 果 该 窗口 中 能 
正确 显示 目标 机 器 的 上 网 情况 ,那么 说 明 对 该 机 器 的 监控 是 正常 的 ,也 说 明 对 该 机 器 的 封 墙 
也 将 起 作用 。 


11.3.5 封锁 目标 机 器 上 网 


选中 被 测试 的 机 器 ,进入 “ 封 墙 端口 ” 子 栏目 ,在 80 端口 上 打上 勾 ( 注 : 如 果 用 户 网 络 采 
用 代理 上 网 , 则 上 网 端口 可 能 不 是 80, 则 需要 用 户 “ 添 加 ?新 的 端口 ,并 打 勾 ) ,封锁 时 间 段 全 
绿 , 按 下 按钮 更 新 规则 一 之 ET”, 最 后 按 * 保 存 设置 ?使 设置 生效 ,如 图 11. 7 所 示 。 

设置 完毕 后 ,再 次 让 被 测试 的 机 器 上 网 ,并 检查 “现场 观察 窗口 下 半 部 分 的 记录 显示 。 

通过 上 述 几 个 步骤 的 测试 ,可 以 有 效 地 检测 出 产品 安装 是 否 成 功 。 
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| 邮件 过 源 | TP 过 源 ] 封 堵 庙 口 | 外 发 尺寸 | 限制 流量 | 疡 证 


封 堵 指定 端口 
被 封 端 口 请 口 描述 加 | | 篇 辑 
回 加 访问 因特网 二 
口 55 发 送 邮件 叮 ... 
口 ao。 接受 邮件 体 . | 
口 000 。 阁 录 中 国 游 | 图 
口 z0o0 。 莅 录 联 闪 游 戏 十 站 
口 5190 。 英文 Icq 
口 1630 ”网 易 泡 泡 本 
口 5o50 Yehoo Messe... CC 
口 1863 。 sn Messenger 司 | 了 天 


00 02 04 06 08 10 12 14 16 18 20 22 24 
CO 


目 = 启用 本 选项 的 时 间 段 (单位 : 半 小 时 ) 


芭 开 放 库 中 指定 的 端口 (屏蔽 其 他 所 有 端口 ) 
METC\DB\OpenPort!. txt 司 Lf 
| | 


目 = 启用 本 选项 的 时 间 段 (单位 : 半 小 时 ) 


更 新 规则 =>ET 
更 新 规则 = 关 # 姐 “Wew Folder” 属 下 的 所 有 机 器 


图 11.7 封 堵 端口 


11.4 各 种 网 络 监控 模式 


11.4.1 基于 网 卡 的 网 络 监控 模式 


1. 基于 网 卡 监控 的 含义 

基于 网 卡 监控 就 是 以 网 卡 MAC 为 依据 ,根据 网 卡 MAC 地 址 确定 被 监控 的 信息 内 容 
的 身份 。 由 于 每 台 机 器 的 网 卡 MAC 相对 固定 ,用 户 不 易 修 改 , 因 此 建议 将 该 网 络 监 控 模 式 
列 为 首选 。 

在 这 种 网 络 监 控 模 式 下 ,用 户 更 换 新 的 网 卡 后 ,“ 网 路 岗 ” 会 重新 检测 到 新 的 MAC, 因 
此 ,新 网 卡 将 被 当 作 新 加 入 的 机 器 来 处 理 , 在 此 提醒 用 户 注 意 。 

2. 基于 网 卡 网 络 监控 模式 的 实施 

(1) 选择 网 络 监控 模式 ,如 图 11.8 所 示 。 

(2) 设置 监控 对 象 , 如 图 11. 9 所 示 , 包 括 如 。 peg 


下 几 方 面 功 能 : 当前 几 近 模式 : 。 人 莽 风 RW 总 | 
“搜索 邻居 ”: 自动 探测 指定 IP 范围 内 的 机 

器 信息 (IP 地 址 /网 卡 MAC) 。 图 11.8 网 络 监控 模式 
“新 组 ”: 创建 新 的 群 组 ,以 便 对 目标 机 器 进 

行 分 组 管理 。 


“转移 ”: 将 选中 的 机 器 转移 到 其 他 部 门 , 用 户 也 可 以 直接 用 鼠标 将 目标 机 器 从 一 个 部 
门 拖 到 另外 一 个 部 门 。 


| ET [IP:192. 168.0.1]0 MAC DOOAEB2 
NATLEE [IF: 19 6]0 


图 11.9 设置 监控 对 象 


“编辑 ”: 改变 某 一 选中 机 器 的 机 器 名 称 或 改变 群 组 名 称 。 

“删除 ": 删除 选中 的 一 个 或 多 个 目标 ,也 可 用 来 删除 空 的 群 组 。 

“查找 ": 如 果 目 标 机 器 太 多 ,可 以 用 此 功能 来 找 出 要 找 的 机 器 。 

“解析 ": 当 新 机 器 被 加 入 时 ,机 器 名 默认 为 其 IP 地 址 ,如 想 将 IP 地 址 转变 成 机 器 名 ， 
可 使 用 此 功能 。 

“导出 ”: 将 目标 机 器 的 信息 及 其 对 应 的 规则 配置 导出 到 自 定义 的 文件 中 。 

“导入 ”; 将 * 导 出 ”的 机 器 及 规则 配置 信息 从 指定 的 文件 加 入 到 当前 机 器 列表 中 。 

“保存 设置 "; 保存 用 户 对 “目标 机 器 信息 / 群 组 信息 /上 网 规则 ”等 信息 的 改动 。 

一 改变 目标 机 器 的 排序 方式 > : 单 击 “ 搜 索 邻 居 ” 上 方 的 三 个 Option 圆 按钮 ,可 分 别 以 
“机 器 名 /IP 地 址 /MAC” 的 排序 方式 显示 目标 机 器 。 

一 单 选 /多 选单 击 目标 机 器 ,以 选择 单一 目标 ; 
按 下 鼠标 左 键 并 拉动 ,以 多 选 目 标 ,也 可 用 鼠标 左 键 配 「 站 和风 
合 Shift/Ctrl 键 进行 选择 。 信义 : 不 各 控 任 何 信息 

一 双击 目标 机 器 之 : 双击 目标 机 器 后 ,将 弹出 编辑 | ;全 
窗口 。 X 合 义 : 不 监控 ， 但 禁止 其 上 网 

一 更 改 目 标 机 器 监控 状态 过: 在 目标 机 器 的 状态 
小 图 标 上 单 击 ,可 改变 其 监控 状态 。 

如 果 图 11. 10 左边 部 分 为 空 , 则 需要 先 启动 监控 
服务 ,选择 绑 定 正确 的 网 卡 ,然后 , 按 下 “搜索 邻居 ”, 输 


入 正确 的 IP 范围 ,开始 搜索 。 第 
即使 不 用 “搜索 邻居 ”的 功能 ,如 果 有 机 器 上 网 ,新 11 
发 现 的 机 器 同样 可 以 自动 加 入 ; 每 一 目标 机 器 都 有 相 图 11.10 保存 设置 章 
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应 的 目录 ,默认 情况 下 ,新 机 器 都 放 人 目录 New Folder 中 。 
在 图 11. 10 右边 ,用 户 可 以 设置 针对 新 发 现 机 器 的 处 理 方法 和 默认 状态 。 需 要 统计 所 


有 目标 机 器 的 状态 , 则 按 下 “保存 设置 ?上 面 的 按钮 ,出 现 如 图 11. 10 的 画面 。 
11.4.2 基于 JIP 的 网 络 监控 模式 


1. 基于 IP 监控 的 含义 

基于 IP 监控 就 是 以 IP 地 址 为 依据 ,并 以 此 IP 来 确定 所 监控 的 信息 的 身份 ; 一 个 大 的 
网 络 , 比 如 大 学 校园 网 ,管理 人 员 通 常 希望 装 一 套 网 路 岗 来 解决 问题 ,尽管 该 网 的 机 器 有 数 
千 台 甚至 数 万 台 , 且 划分 的 多 级 VLAN 多 达 数 十 上 百 个 。 尽 管 基于 网 卡 的 网 络 监控 模式 可 
以 跨 VLAN 监控 ,但 在 基于 网 卡 的 网 络 监控 模式 下 , 当 计算 机 数量 太 多 ,比如 超过 1000 台 ， 
那么 系统 会 花费 较 多 的 资源 来 探测 其 他 VLAN 下 的 目标 机 器 IP 和 MAC 地 址 对 应 情况 ， 
最 终 导 致 监控 效率 降低 。 而 基于 IP 监控 的 方式 下 ,用户 可 定义 一 个 IP 范围 段 来 作为 一 个 
管理 对 象 。 目 前 ,网 路 岗 的 客户 如 果 监 控 点 超过 1000, 大 多 采用 这 种 网 络 监控 模式 。 

2. 基于 IP 网 络 监控 模式 的 实施 ， 

(1) 选择 基于 IP 的 网 络 监控 模式 ,如 图 11. 11 所 示 。 


监控 模式 
当前 此 控 模式 : 。 13、 基于 IF | 


图 11.11 基于 IP 的 网 络 监控 模式 


(2) 设置 监控 对 象 ,如 图 11. 12 所 示 。 

除 “手动 添加 ”之 外 二 监控 对 象 图 二 与 基于 MAC 地 址 的 网 络 监控 模式 基本 相同 。 

“手动 添加 ”: 用 户 手 工 加 入 新 的 IP 地 址 或 某 一 IP 范围 ; 如 果 用 户 希 望 成 批 加 入 IP 地 
址 , 则 可 以 先 创建 范围 IP, 然 后 选中 "拆散 范围 IP”, 如 图 11. 13 所 示 。 


生产 部 Egy=="= 
名 图 [192. 168.0.1] 本 = 上 
所 图 [192. 168.0.12] 
信 蝎 [192.158. 0 147] 搜索 久居 
俩 大 [192. 168.0. 154] 一 单个 IP | 范围 IP | | 
搜罗 [192. 168.0.200 -> 192. 168.0.254] 手动 条 加 | 
俩 忆 [192 168 0 6] 一 
多 图 [192 168.0 77] 新 组 编辑 起 IF: | 192 .168 .0 .1 
包罗 [192. 168.0 886] 竺 移 和 
区 市 二 一 结束 IP: | 192 .168 . 0 . 50 
查找 解析 
SN syd 
图 11.12 设置 监控 对 象 图 11.13 添加 监控 对 象 


11.5 常见 系统 配置 


11.5.1 网 络 定义 


(1) 定义 内 部 网 段 , 如 图 11. 14 所 示 。 
只 有 出 现 多 网 段 /多 子 网 的 情况 , 才 需 要 定义 内 部 网 段 。 定 义 网 段 时 ,一 般 要 求 用 户 定 


起 始 IP 结束 IP 网 段 描 述 
192. 168.1.1 192. 168. 1. 255 
192. 168.0.1 192. 168.0.255 


注 : 在 多 1 环境 下 ,在 此 定义 需 监 控 的 Ty 范围 :|[ 除 加 名 ] 过 语 局 出 际 加 
图 11.14 定义 内 部 网 段 


义 每 个 需要 监控 的 IP 段 ,但 是 ,用 户 也 可 采用 简化 的 定义 方式 ,比如 : 输入 192. 168. 0. 1- 
192. 168.1.255, 以 简化 上 图 中 的 输入 ,这样 只 需要 输入 一 次 。 
(2) 设置 代理 IP 或 内 网 资源 ,如 图 11. 15 所 示 。 


砷 透明 代理 服务 器 下 或 内 网 次 源 
[二 描 玉 | 
192.168.0.1 CCProxy 


人 DR 


如 何 辨认 一 款 代理 软件 为 “ 非 透明 代理 服务 器 软件 ”? ] 


图 11.15 代理 IP 或 内 网 资源 的 设置 


如 果 用 户 采 用 非 透明 代理 服务 器 软件 实现 多 机 共享 上 网 ,那么 必须 在 该 处 输入 代理 服 
务 器 的 IP 地 址 (内 网 IP 范畴 )。 另 外 ,如 果 网 内 有 邮件 服务 器 等 内 网 资源 ,也 需要 在 上 面 输 
入 其 IP, 才 能 监控 到 内 网 机 器 访问 内 网 资源 的 情况 。 


11.5.2 监控 项 目 


默认 情况 下 如 图 11. 16 所 示 , 所 有 列 出 的 项 目 都 处 于 被 监控 状态 ,用 户 可 用 鼠标 单 击 项 
目 以 “取消 /选中 ”该 项 目 。 系 统 还 提供 了 “ 自 定义 项 目 ”, 用 户 在 定义 项 目 时 必须 对 IP 通信 
有 所 了 解 ,如 图 11. 17 所 示 。 


站 常见 网 络 活动 监控 项 目 


访问 网 站 QUTTP) 

发 送 邮 件 (SMTP)) 

接受 邮件 (POP3) 

IC 克文 聊天 ) 

腾讯 99 (中 文 罗 天 ) 
异地 上 传 或 下 载 文件 FTP) 
登录 异地 电脑 (TELNET) 
文件 访问 与 操作 (NETBIOS) 


Msn Nessenger 


凡 罗 办 罗 国 国民 四 办 四 
"Ts 1 


攻 合 


Tahan Mocsansor 


回忆 用 Http 标 题 缓冲 自 定义 项 目 ... 


图 11.16 监控 项 目 第 
Lm 
章 
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图 11.17 自 定义 项 目 


“项 目 名 称 ” 用 以 标识 所 定义 的 项 目 。 

“监控 描述 ”将 在 现场 观察 窗口 中 显示 并 保存 于 对 应 的 日 志文 件 中 。 

“通信 类 型 "提供 TCP 和 UDP 两 种 ,以 后 的 版 本 中 将 增加 其 他 通信 类 型 。 

“ 源 端 口 " 是 发 出 通信 和 包 的 一 方 所 占用 的 端口 值 。 

“目标 端口 ?是 接受 通信 方 所 使 用 的 端口 值 。 

如 果 系 统 检测 到 符合 上 述 条 件 的 通信 和 包 , 将 在 现场 观察 窗口 中 显示 出 来 ,并 记录 到 日 志 
文件 中 。 如 果 用 户 了 解 某 个 病毒 /游戏 /聊天 软件 的 通信 和 包 规 律 ,端口 比较 固定 ,那么 通过 自 
定义 项 目 , 以 让 网 路 岗 来 提醒 用 户 哪 台 机 器 干 了 什么 敏感 的 事情 。 


11.5.3 监控 时 间 

该 处 显示 的 监控 时 间 是 全 局 的 ,在 非 监控 时 间 段 ,监控 服务 会 完全 不 做 任何 控制 ,尽管 
服务 还 处 于 运行 状态 。 
11.5.4 端口 配置 

监控 项 目 和 端口 是 息息相关 的 ,系统 是 通过 对 特定 端口 数据 的 分 析 来 实现 对 特定 项 目 
的 监控 。 每 一 个 项 目 可 同时 配置 三 个 端口 ,比如 某 网 络 有 一 天 也 许 同 时 有 80、8080、3128 等 
访问 网 站 的 端口 的 现象 出 现 ,这 样 就 需要 配置 多 个 端口 。 


如 果 用 户 采 用 非 透 明代 理 服务 器 软件 实现 共享 上 网 , 且 代 理 端 口 并 非 80 ,那么 就 需要 
HTTP 的 端口 80 后 面 再 增加 一 个 端口 值 。 


11.5.5 室 闲 IP 


通常 ,网 络 管理 员 在 给 网 内 机 器 分 配 完 IP 后 发 现 , 有 些 IP 范围 段 是 空闲 的 ,短期 内 用 
不 上 ; 同时 网 管 也 不 想 让 这 些 IP 被 使 用 ,那么 ,利用 空闲 卫 防止 计算 机 IP 被 私下 更 改 就 
非常 有 效 。 


11.5.6 深层 拦截 过 渡 


如 果 用 户 采用 的 是 * 非 旁 路 ”的 监控 方式 ,那么 “深层 拦截 过 滤 ? 就 会 起 作用 。 
(1) 过 滤 时 间 安 排 , 如 图 11. 18 所 示 ,用 户 可 根据 需要 设置 过 滤 启 用 时 间 ,该 时 间 是 针 
对 所 有 过 滤 项 目的 总 体 控制 。 


口 星期 天 口 星 期 一 星期 二 口 星期 三 口 ] 星期 四 口 ] 星期 五 星期 六 


4 时 | 分 到 [0 小 时 0 分 


全 天 时 间 2 小时】 


从 | 4 时 | 分 到 | 小 时 0 分 


图 11.18 深层 拦截 过 滤 设 置 


(2) 过 滤 项 目 定义 ,以 过 滤 UDP 登录 方式 的 QQ 为 例 : 如 图 11. 19 所 示 , 这 里 设置 的 
Port 8000-8001 是 针对 每 条 通信 的 外 网 端口 的 。 其 他 通信 端口 的 过 滤 设置 方式 类 似 。 


图 11.19 通信 端口 的 过 滤 设 置 


除了 上 述 过 滤 项 目 外 ,由 于 考虑 到 对 NAT 性 能 的 影响 ,系统 暂时 不 提供 过 多 的 过 滤 功 
能 设置 。 


11.6 上 网 规则 


11.6.1 上 网 时 间 


如 图 11. 20 所 示 , 如 果 用 户 只 是 简单 地 控制 目标 机 器 的 上 网 行为 ,在 这 里 设置 是 最 好 
的 。 图 11. 20 中 蓝 色 显示 块 表示 人 允许 ,白色 表示 禁止 。 用 鼠标 控制 选择 蓝 色 /白色 。 

只 有 在 白色 时 间 段 ,对 Web 端口 的 封 堵 选项 才 起 作用 。 在 蓝 色 时 间 段 是 不 是 就 一 定 可 
以 上 网 还 难说 ,主要 看 后 面 的 项 目 中 是 否 设 置 了 封锁 ,在 如 此 多 的 上 网 规则 中 ,只 要 有 一 处 
封 堵 , 就 能 起 到 封 堵 的 作用 。 

如 果 用 outlook 收发 hotmail 邮件 ,图 11. 20 中 的 选项 将 不 起 作用 ,因为 hotmail 邮件 并 
非 通 过 收发 邮件 的 端口 (110/25) 进 行 通信 ,而 是 通过 HTTP 方式 。 


11.6.2 网 页 过 小 


如 图 11. 21 所 示 ,网 页 过 滤 主 要 是 针对 地 址 URL 的 过 滤 ,对 内 容 不 予 考虑 。 定 义 关键 
词 的 时 候 ,建议 输入 最 具 代 表 性 的 词 。 针 对 google. com .baidu. com 和 3721 等 搜索 网 站 ,还 
支持 对 中 文 关 键 词 的 封 堵 。 
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| 上 网 | 网 页 过 尖 ] 过活 库 | 上 网 反馈 上 下 载 控制 1 邮件 过 国 于 


‘00 02 04 06 08 10 12 14 16 18 20 22 24 


日 。 i 
上 网 | 网 页 过 泌 | 过 小 库 | 上 网 反馈 | 下载 控 制 | 邮件 过 》 


周二 过 泥 模 式 僵 > 
口 自 定义 禁止 网 站 (包括 搜索 关键 词 ) 
周 四 : JEerWordsl txt ~| 打开 
周 五 [IT MI 
国 = 启用 本 选项 的 时 间 段 (单位 : 半 小 时 ) 
周 六 OM 
图 = 允许 区 口 某 上 上 区 全 选 
过 淹 模 式 二 > 
口 只 允许 访问 与 工作 学 习 有 关 的 网 站 


在 “禁止 区 ”, 封 镇 下 列 Web 端 品 


|80, 25, 110, 


注 : 最 多 可 设置 15 个 端口 ,端口 之 间 用 逗号 隔 开 。 


图 11.20 上 网 时 间 设 置 


举例 说 明 : 


图 11.21 网 页 过 滤 


(1) 如 果 要 禁止 上 www. sina. com. cn 网 站 , 则 输入 sina. com. cn 比较 合适 ,如 输入 
sina. com 的 话 , 则 被 控 机 器 连同 www. sina. com 和 www. sina. com. cn 都 不 能 上 了 。 

(2) 在 禁止 网 站 列表 中 输入 “法 轮 功 ”, 以 防 被 控 机 器 在 搜索 网 站 上 以 该 关键 词 来 搜索 。 

(3) 在 “只 允许 访问 列表 ”中 输入 sohu 可 让 用 户 只 能 上 www. sohu. com。 


11.6.3 过 滤 库 


如 图 11. 22 所 示 ,为 方便 用 户 控制 “网 路 岗 ? 收 集 
了 几 类 网 站 列表 和 端口 库 , 可 供 选择 。 针 对 列表 库 , 用 
户 可 进入 “列表 库 管理 工具 ”进行 添加 或 删除 操作 。 

“列表 库 管 理工 具 " 是 专门 针对 网 站 列表 库 的 工 
具 , 用 户 可 以 随意 添加 /删除 /查询 现 有 的 列表 库 。 如 
果 用 户 有 现成 的 列表 文本 文件 , 则 可 以 导入 到 相应 已 
打开 的 库 中 ,那些 被 成 功 导 入 的 网 站 将 被 显示 出 来 , 通 
过 “导入 "与 “导出 ”功能 ,用 户 之 间 可 以 轻松 交流 自己 
收集 的 网 址 。 


11.6.4 上 网 反馈 


如 图 11. 23 所 示 ,如 果 用 户 通过 封 堵 端 口 的 方式 来 
禁止 上 网 , 则 上 述 功能 无 效 ; 必须 通过 关键 词 来 封锁 网 
站 才 有 效 。 


上 网 [网 页 过 泥 | 过 涛 床 | 上 同 反 馈 上 下 载 控制 [邮件 过 本 


过 源 模 式 伍 > 


过 滤 列 表 库 
口 不 恨 网 站 列表 库 (包括 色情 、 暴 力 、 恐 怖 网 站 ， 
口 财经 信息 网 站 列表 库 (股票 、 朋 市 行情 等 ), 


口 游戏 端口 库 ， 
口 用 票 软件 毕 口 库 . 


MDD 
国 = 局 用 本 选项 的 时 间 段 (单位: 半 小 时 ) 


进入 列 雪 库 营 理工 具 
口 禁 止 以 TP 地 址 的 形式 访问 网 页 


图 11.22 过 滤 库 


如 图 11. 23 中 的 默认 设置 所 示 ,根据 用 户 需求 ,让 被 封锁 的 机 器 显示 更 明确 的 信息 。 另 
外 如 果 目 标 机 器 上 了 某 个 敏感 网 站 ,通过 设置 也 可 以 让 其 跳 转 到 某 一 个 指定 的 页 面 (比如 企 


业 网 或 校园 网 ) 。 


11.6.5 邮件 过 滤 


如 图 11. 24 所 示 ,邮件 过 滤 并 非 严格 过 滤 ,这 是 因为 如 果 邮 件 内 容 太 少 ,甚至 没有 ,那么 
系统 检测 到 用 户 有 邮件 发 送 迹象 时 ,已 经 太 迟 ,该 邮件 可 能 已 经 发 送出 去 ,再 去 堵截 就 没有 


意义 了 。 


| 上 网 | 网 页 过 小 | 过 泥 库 ， 上 网 反 党 | 下 载 控制 | 收发 昌国 


尽管 如 此 ,针对 稍 大 的 邮件 的 过 滤 还 是 有 效 的 ,尤其 是 带 附 件 的 邮件 。 


网 页 过 渡 | 过 小 库 | 上 网 反馈 | 下载 控制 | 邮件 过 涛 | 封 堵 寺 


封锁 机 器 上 网 的 方式 
人 反馈 连接 出 错 信息 。 


加 反馈 下 列 一段 文 字 : 


| 


品 转 移 到 其 他 页 面 WRL) : 


图 11.23 上 网 反馈 设置 


11.6.6 JIP 过 小 


如 图 11. 25 所 示 ,IP 过 滤 是 针对 因特网 上 各 
类 资源 的 IP 地 址 的 过 滤 ,进行 设置 时 ,需要 对 IP 
有 全 面 的 了 解 。 事 实 上 ,全 球 IP 地 址 的 分 配 是 
有 一 定 规 则 的 ,相关 知识 可 在 网 上 搜索 到 ,搜索 
关键 词 请 用 “IP 地 址 分 配 ?。 利 用 这 些 规律 ,可 以 
设置 某 些 地 区 的 网 站 禁止 访问 。 某 些 大 型 网 站 ， 
比如 yahoo sina 等 都 具有 很 多 的 IP 地 址 ,因此 ， 
不 能 简单 通过 一 两 个 IP 地 址 来 封锁 该 网 站 。 


11.6.7 封 堵 端 口 


如 图 11. 26 所 示 ,任何 一 款 网 络 软件 ,如 果 
它 建 立 在 TCP/IP 通信 之 上 ,都 会 用 到 “端口 ”， 
比如 股票 软件 .FTP 软件 、 收 发 邮件 软件 等 ,都 具 
备 自己 的 开放 端口 。 因 此 ,通过 “端口 "来 封锁 上 
网 行为 是 非常 有 效 的 。 


专人 允许 发 送 指定 的 目标 邮箱 
\ETC\DB\WorkEnail. txt 
对 发 送 的 邮件 标题 及 内 容 进行 过 小 

NETC\DB\XEnailWords, txt 打开 .. 


问 : 如 何 设置 “禁止 在 网 页 上 发 送 邮 件 ”? 


答 : 进入 “外 发 尺寸 ”控制 项 ,将 大 小 设置 为 
治 te ttp-post- 


ee (以 下 是 服务 器 IF) 
县 于 ho 0 


[ ] 
[ ] 
[ ] 


ollollollo 


0 
.0 
0 
0 


ollollollo 


0 
[I] 0 .0 
| 0 和 .0 
0 0 0 0 0 


图 11.24 邮件 过 滤 


过 小 库 | 上 网 反馈 | 下 载 控制 | 邮件 过 涛 IT 过 小 【 封 堵 该 国志 


口 IP 白 名 单 珑 条件 放行 IF, 如 病毒 升级 服务 器 ) 

.METC\DB\OpenIp. txt 
自 定 义 禁止 IF 

..AETCADBAXTP1. txt ~ 打开 . 


国 = 启用 本 选项 的 时 间 段 (单位 : 半 小 时 ) 


充 允 许 访问 下 面 指定 的 IF 


. .AETCADBAOnly0penTp1. txt v [#7 下.. | 


国 = 启用 本 选项 的 时 间 段 单位 : 半 小 时 ) 


图 11.25 IP 过滤 设 置 


尽管 很 多 软件 的 端口 是 软件 开发 者 自 定义 的 ,但 用 户 也 不 必 担 心软 件 改 变 自身 的 “开放 
端口 ”, 因 为 “开放 端口 ”一旦 改变 ,该 软件 的 客户 端 也 必须 随 之 更 改 ,从 市 场 角度 看 是 不 现实 
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网 络 安 会 与 管理 


的 。 如 果 了 解 IP 包 的 话 , 用 户 可 利用 本 系统 提供 的 工具 “IP 包 分 析 工 具 ” 来 分 析 端 口 。 


11.6.8 外 发 尺寸 


如 图 11. 27 所 示 , 这 里 对 外 发 尺寸 的 控制 是 一 种 模糊 控制 ,并 不 能 精确 到 字 节 数 ,而 且 ， 
上 述 功 能 只 有 在 用 户 购买 的 版 本 具备 邮件 内 容 的 监控 功能 时 才 起 作用 。 原 因 是 ,没有 内 容 
监控 的 话 , 系 统 无 法 及 时 知道 外 发 文件 的 大 小 ,也 就 不 能 在 中 途 进行 堵截 。 


[ 寺 壹 控制 | 收发 邮 件 | 邮件 过 涛 | 卫 过 小 | 妈 堵 这 口外 发 


封 堵 指定 端口 

被 封 端 口 。 端口 描述 本 | | 编辑 
80 访问 因特网 E 
25 发 送 邮件 时 [2 
110 接受 邮件 条 一 
8000 登录 中 国 游 . [全 选 | 
2000 。 警 录 联众 游戏 清除 
5190 英文 IC 
1630 ”网易 泡 泡 可 
5050 。 Yahoo llesse. 2 
1883 Msn Messenger 时 | 聊天 


00 02 04 06 08 10 12 14 16 18 20 22 24 
CTTTTTTTITT 


上 = 启用 本 选项 的 时 间 段 (单位 : 半 小 时 ) 


口 色 开 放 库 中 指定 的 端口 (屏蔽 其 他 所 有 请 口 ) 
AETCADBYOpenPortl txt 加 | 


国 = 启用 本 选项 的 时 间 段 单位 : 半 小 时 ) 


图 11.26 封 堵 端 口 设置 


11.6.9 限制 流量 


如 图 11. 28 所 示 ,本 软件 只 能 检测 到 上 网 带 
宽 数 据 而 不 能 实现 对 带宽 的 管理 和 分 配 。 根 据 
需求 ,提供 了 对 流量 的 限制 功能 ; 比如 ,限制 某 台 
机 器 每 天 只 能 有 多 少 M 的 上 网 流量 ,超过 这 个 
数字 ,系统 会 自动 断 网 。 

图 11.28 显示 的 累计 流量 是 动态 的 ,便于 用 
户 及 时 观察 到 客户 机 的 流量 。 如 用 户 规定 该 机 
器 每 分 钟 的 流量 , 则 每 隔 一 分 钟 累计 流量 就 会 自 
动 变 成 0。 


11.6.10 绑 定 IP 


如 图 11. 29 所 示 ,在 单 网 段 环 境 , 且 是 基于 
网 卡 的 网 络 监控 模式 下 ,用 户 可 以 通过 绑 定 IP 
的 功能 来 防止 目标 机 器 私下 更 改 IP 上 网 。 选 


|[ 圭 堵 庙 口 | 外 发 尺寸 | 限制 流量 | 绑 定 IP | 昨 榨 项 目 | 国 因 


口 限制 外 发 邮件 大 小 ( 指 0utLook Foxnail 等 发 的 邮件 ) 
Tid 四 


b 


[“ 外 发 资料 ”监控 服务 启动 时 有 效 ] 


限制 FTF 上 传 的 文件 大 小 
不 超过 0 


Ta 过 0 


下 字 节 


[【“ 外 发 资料 ”监控 服务 局 动 时 有 效 ] 


限制 网 页 粘贴 的 文字 长 度 0tttp-Post) 


字 节 [ 注 :不 是 以 为 单位 ! ] 


ne 


图 11.27 外 发 尺寸 设置 


[ 芭 寺 端口 | 外 发 尺寸] 限制 流量 约定 ITP | 监控 项 目 | 国 国 


限制 方式 
不 限制 
口 限制 每 周 流量 


人 〇 限制 每 天 的 流量 

〇 限制 每 小 时 的 流量 

人 〇 限制 每 刻 钟 的 流量 (15 分钟) 
口 限制 每 分 神 的 流量 


流量 


规定 时 间 内 总 流量 不 超过 0 了 Bytes 


当前 累计 流量 : 


0 Bytes [ 清 委 


图 11.28 限制 流量 设置 


项 ;“IP 改变 时 ,记录 其 变化 情况 ?被 选中 时 ,该 网 卡 更 改 IP 地 址 后 ,会 详细 记录 其 更 改 


情况 。 


11.6.11 监控 项 目 

如 图 11. 30 所 示 ,用 户 可 根据 需要 设置 目标 的 监控 内 容 。 如 果 用 户 购买 的 版 本 没有 邮 
件 内 容 监 控 或 没有 聊天 内 容 监 控 , 则 图 11. 30 中 “监控 聊天 内 容 *” 和 “监控 外 发 资料 内 容 ” 的 
选项 就 不 起 作用 。 如 果 用 户 只 是 想 过 滤 邮 件 正 文 而 不 记录 邮件 的 话 , 则 可 以 选择 “只 过 滤 发 
送 邮 件 的 内 容 , 不 生成 邮件 日 志 ”。 


下 索 控 制 | 邮件 过 渡 | 封 堵 英 口 | 外 发 尺寸 | 可 二 于 ||。 国 罗 


机 器 乡 定 下 列 IF 地 址 
[Lo 0 0 0 缺 省 | 过 沽 | 封 堵 六 口 ] 外 发 民 寸 | 绑 定 IP] 功能 项目 4 
Lo [ER 更 -ml 
[Lo .0 .0 0 
[WE 0 
— 0 可 0 o | 选择 项 目 
省 情况 下 ， 一 个 MAC 监控 常见 网 络 活动 
ra 5 人 
0 中] 监控 聊天 内 容 


呈 ; 对 于 采用 动态 分 配 IF 地 址 的 机 器 不 建议 启用 IT 绑 定 选 本 
。 加] 监 控 外 发 资料 内 容 附件 + 正文 ) 


口 只 过 泥 发 送 邮 件 的 内 容 ， 不 生成 邮件 日 志 


II 改变 时 , 记录 其 变化 情况 


图 11.29 绑 定 IP 设置 图 11.30 监控 项 目 设置 


11.7 日 志 查 阅 及 日 志 报 表 


11.7.1 查阅 网 络 活动 日 志 


(1) 选择 目标 机 器 ,如 图 11. 31 所 示 ,在 “所 有 对 象 " 前 打上 勾 ,查询 日 志 的 时 候 ,是 针对 
所 有 机 器 的 ; 相反 ,如 果 去 掉 * 所 有 对 象 " 前 面 的 勾 ,用 户 可 以 随意 双击 目标 机 器 ,以 显示 对 
应 的 日 志 记录 。 粗 黑 显 示 的 机 器 表明 有 与 其 相关 的 日 志 记录 。 

如 图 11. 31 显示 的 “机 器 /账户 /IP 地 
址 ?是 和 用 户 选 择 的 网 络 监控 模式 直接 关 


视 嚣 ”账户 1 地址 | 
联 的 ,查阅 日 志 的 时 候 ,请 根据 选择 的 网 络 “[ 芒 生 部 = 


监控 模式 来 选择 "机 器 /于 户 /下 地 址 *，。 | - 量 ， 全 全 全 
按钮 夯 表示 : 刷新 显示 目标 机 器 [i WW mATLEE [IP:192.168.0.6][WAC:000AE6F0257D] 
辆 部 EET [IP:192.168.0.1] [MAC:000AEB21E819] 
列表 。 国 剖 张 兴 东 [IP:192. 168. 0- 252] [WAC:000AEB4E2ED8] 
按 租 可 雪 示 : 在 月 标 机 局 动 才 下 要 | 上 国 攻 全 和 全 仙人 
找 所 要 找 的 目标 机 器 。 和 
(2) 选择 查询 范围 ,如 图 11. 32 所 示 。 图 11.31 目标 机 器 列表 第 
“范围 ”: 单 击 后 ,弹出 快速 选择 日 期 11 
章 


实验 2 网 路 前 款 件 的 应 肝 
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范围 | 起 抬 :|2003-12- 1 加 00 02 04 06 08 10 12 14 16 18 20 22 24 (单位 ) 
-pp (小时) 
刷新 ” 却 访问 网 站 := 4 页 :1/3 [| 
| 
序号 撤 计 信息 Hac 地 址 被 访问 网 站 % 
1 4 88.0.88 OOOAEBFO2STA http://wwew. webnonit.. f/f 
2 :访问 网 站 68.0. 88 。 000AE67025TA http://wwnw. webmonit. . 
3 :收发 邮件 68.0.147 000039D2AF3 http://www. google. com 
4 1 Ic 天 68.0. 147 000039DZAIF3 http://wew. google. com 
5 4 68.0.147 000039DZAF3 http://wwew. google. com 
6 异地 上 传 惑 下载) 文件 68.0.88 OOOAE6FOZ2STA http://oimsgad. tenc. 
7 远程 登陆 Telnet 服 务 器 168.0.77 000AE6EDAB29 。 http: 


SS > 68. 0. 147 000039D2A1F3 
9 :访问 好 人 电脑 共享 文件 。 68.0.147 000039D2AP3 


tpB: 
http:AAwww. zaobao e. 
10 1 NSH Nessenger 68.0.147 000039DZ2AIF3 http://www. zsen com 
4 68.0.147 000039D2AIF3 http://www. raobao. e.. 


Yahoo Nessenger 


[~~~~~~~~~~e 


1 68.0. 147 000039D2A1F3 。 http:7ywww. zacbao ec. .- 
13 。: 自 定 义 项 目 68.0.147 000039J2A1F3 。 http:7ywww, loveoo. com 
人 全 和 68.0.147 O00039D2AIF3 http://wwn. loveoo. com 
15 : ”阻塞 事件 68.0.147 O00039D2AIF3 http://www.loveoo. com 
I 68.0.147 O00039D2AIF3 。 http://wwn. loveoo. com 
17 1 网络 流量 68.0.147 000039D2AIF3 http://friends. szon . 
18 各 - - O00039D2AIF3 。 http://friends. sron. .. 
2... 192.168.0.147 192.168.0.147 000039D2AIF3 http://friends. sron 
2... 192.168.0.147 192.168.0.147 000039D2AF3 http://fwww. cjol. com ~ 
< 


日 志 总 数 :2537 显示 日 志 数 :1000 当前 日 志 :20 


图 11.32 选择 查询 范围 


范围 的 菜单 。 
“刷新 ”: 更 改 范围 或 要 查 的 目标 机 器 后 ,重新 查找 并 显示 对 应 的 日 志 记录 。 
小 图 标 国 表示 : 将 显示 的 日 志 内 容 导 出 
小 图 标 殉 表示 : 专 斩 于 剖 拓 日志 记录 菜 目 。 
小 图 标 鳃 表示 : 打印 显示 的 日 志 内 容 。 
(3) 设置 显示 的 行 数 ,如 图 11. 33 所 示 。 
(4) 统计 日 志 。 针 对 访问 网 站 的 日 志和 收发 邮件 的 日 
志 , 提 供 简单 的 统计 功能 。 


11.7.2 查阅 外 发 资料 日 志 


(1) 选择 目标 机 器 ,如 图 11. 34 所 示 。 上 显示 的 “机 器 /账户 /IP” 是 和 用 户 选 择 的 网 络 
监控 模式 直接 关联 的 ,查阅 日 志 的 时 候 , 请 根据 选择 的 网 络 监 控 模 式 来 选择 “机 器 /账户 /IP 
地 址 ”。 机 器 后 面 的 数字 直接 表明 了 该 机 器 的 日 志 数 量 。 

(2) 显示 日 志 内 容 ,如 图 11. 35 所 示 。 

小 图 标 日 表示 是 否 存在 附件 。 

小 图 标 旷 表 示 该 邮件 可 直接 用 Microsoft Outlook 打开 。 如 果 用 户 发 现 如 图 11. 35 下 
半 部 分 显示 乱码 ,建议 用 Outlook 打开 。 

小 图 标号 点 后 可 显示 附件 。 

(3) 搜索 邮件 , 见 图 11. 36 ,在 输入 框 中 ,输入 邮箱 或 关键 词 时 都 必须 单行 输入 ,对 附件 
类 型 进行 搜索 时 ,如 果 同 时 搜索 多 个 类 型 ,那么 用 逗号 分 隔 开 。 


图 11.33 显示 行 数 的 设置 


只 


SW dbfan [IP:192. 168.0- 188] [WAC:00014A01DEA8]<2> 
SY 192.168.0.1 [IP:192.168.0.1][nAC-000AEB21E819]<] 
使 发 件 箱 SNTP) 
人 收 件 箱 BoP3) 
仿 FTP 上传 
全 网 下 贴 [SYet 邮 件 ] 
广 Hsn Hessenser 文 件 4》 
入 Tencent 9 文件 
SY DBYAE [IP:192. 168. 1.2][WAC:000E354B590C] <231> 
祖 发 件 箱 (GNTP)<4> 
人 IEC 
丛 FTP 上 传 气 > 
@ 网 页 粘贴 [人 Yeb 邮 件 ]<107> 
注 sn messenger 文 件 G> 
全 Tencent g9 文 件 气 > 


识 YORKGROUP 
图 11.34 外 发 资料 日 志 
0 了 时 间 发 送 本 邮件 的 软件 名 称 六 


0 2004-01-12 13:21:02 MDL 7.0 for Windors 
0 2004-01-12 13:21:07 Weresoft Outlook BE 
0 2004-01-12 13:21:23 -erosoft Outlook BE 
0 2004-01-12 13.21:24 机 crexeft Outlook B 
0 
0. 百度 搜索 引擎 竞价 2004-01-12 13:21:30 Weresoft Outlook BE 
O18 Digeer penl with . 2004-01-12 13:21:31 The Bat! (vl.S28) 了 
O18 geat oil 2004-01-12 13:21:33 The Bat! (v1.S2f) b, 
192 168.0.18 Wew Secarity Upgrade 2004-01-12 13:21:35 The Batl (vi.S2f) b 
RN 
号 发 循 人 :Chupion Gwing 人 innerlcl 路 件 人 : softxp@sins con 抄 送 : 


主题 :Best Casino hmard: $300 from Desert Dollar 


图 11.35 显示 日 志 内 容 


PE 
曲折 Mf 补 


Stopevip sine een 
BM: [aoc 9 ! 司 


Fx es 站 素 : |2004- 9-21 本 | 


目标 邮箱 
softzpl. 
softzplr. 
softxplv 
sof tply 
oftxpe 
ts 
oftxpl 
softrplr 
softapl. 
softzplr. 
softzplr. 
softzplr 

ia165. ean 1oftzplY 

aag3510 .. oftzply. 

ha 

dl2345_ softrplr. 

Sle9 cm 

baba new 

aftzplr 

aba ner 

区 记 14 

servicel 

yl 3801 

bab ne 

defhEs 

Man? 


fa - 投 桨 闻 项 目 ， 长 话 给 成 本 价 
AK S95，YTOIT $123, VALL 
评 际 记 傣 全 是 新 符 价 机 村 
23127bTac5aavLys341bTov 
二 3127bTRnc5aawLrs341bT0v 
百 要 估 过 引 重信 从 持 名 服务 失效 
工作 限 、 制 服 定 册 0755-629s929 


是 近 比 较 需 
今日 商 村 信息 


接 委 
接受 
接受 
接受 
接受 
接受 
接受 
接受 
接受 
接 要 
接受 
报 要 
接受 
控 妆 
扰 委 
接 雪 
闯 
发 送 
接受 
接受 
接受 
接受 
接 要 
接受 
EE 
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实验 2 网 路 前 款 件 的 应 用 


11.7.3 日 志 报 表 


日 志 报表 分 析 能 提供 多 种 专业 图 形 化 报表 ,同时 ,在 报表 结果 中 ,用 户 也 可 以 查阅 详细 
的 日 志 内 容 , 如 图 11. 37 所 示 ( 在 统计 数据 上 双击 ,可 弹出 要 显示 的 内 容 ) 。 


ET 


| am Per 


加 le 


查询 、 发 表 文章 或 申请 服务 等 等 


地 址 : http://vip3- 
211. sinamail. sina. com cn/cgi/maillist. 
语言 : zh-cn 

编码 : gzip，deflate a 
4 = | 


[es ed 


图 11.37 日 志 报 表 分 析 


实验 思考 题 


.“ 网 路 岗 ” 对 于 网 络 管理 员 在 日 常 网 络 维护 上 有 什么 好 处 ? 

. 选择 什么 样 的 安装 位 置 有 助 于 “网 路 岗 ” 获 得 更 加 有 用 的 数据 ? 
.监控 内 容 如 何 查 阅 并 保存 ? 

.“ 网 路 岗 ” 能 监控 的 内 容 中 ,用 处 比较 大 的 是 哪些 ? 


> 


第 12 章 实验 3 Windows 操作 系统 
ee 的 安全 设置 


12.1 实验 目的 及 要 求 


12.1.1 实验 目的 


通过 实验 掌握 有 效 防范 攻击 的 措施 .Windows 账户 与 密码 的 安全 设置 文件 系统 的 保 
护 和 加 密 、 安 全 策略 与 安全 模板 的 使 用 ,审核 和 日 志 的 启用 ,数据 的 备份 好 还 原 、 本 机 漏洞 检 
测 软 件 MBSA 的 使 用 ,建立 一 个 Windows 操作 系统 的 基本 安全 框架 。 


12.1.2 实验 要 求 

根据 本 教材 中 介绍 的 Windows 操作 系统 的 各 项 安全 性 实验 要 求 ,详细 观察 并 记录 设置 
前 后 系统 的 变化 ,给 出 分 析 报告 。 
12.1.3 实验 设备 及 软件 


1 台 安装 Windows 2000/XP 操作 系统 的 计算 机 ,磁盘 格式 配置 为 NTFS, 准 备 MBSA 
(Microsoft Baseline Security Analyzer) 工 具 。 


12.2 有效 的 防范 攻击 措施 


12.2.1 计算 机 常见 的 被 入 侵 方 式 


在 上 网 时 可 能 会 遇 到 的 入 侵 方式 大 概 包 括 以 下 几 种 : 
(1) 被 他 人 资 取 密码 ; 

(2) 系统 被 木马 攻击 ; 

(3) 浏览 网 页 时 被 恶意 的 Java Script 程序 攻击 ; 
(4) QQ 被 攻击 或 泄漏 信息 ; 

(5) 病毒 感染 ; 

(6) 系统 存在 漏洞 使 他 人 攻击 自己 ; 

(7) 黑客 的 恶意 攻击 。 


12.2.2 有 效 防范 攻击 的 手段 


(1) 对 于 共享 资源 的 设置 ,如 查 本 地 共享 资源 中 是 否 有 不 必要 的 共享 ,删除 不 必要 的 共 
享 , 防 范 IPC 默认 共享 等 。 


网 络 安 会 与 管理 


(2) 利用 IP 安全 策略 关闭 危险 端口 ,例如 139 端口 ,445 端口 都 是 病毒 常 利 用 的 端口 。 

(3) 管理 工具 的 使 用 ,如 本 地 安全 策略 .计算 机 管理 .服务 .组 策略 等 设置 的 使 用 。 

(4) 文件 加 密 系 统 的 应 用 ,在 NTFS 格式 下 的 文件 及 文件 夹 加 密 。 

(5) 对 计算 机 中 重要 的 文件 要 及 时 备份 。 

(6) 系统 扫描 工具 的 使 用 ,如 微软 公司 提供 的 安全 审计 工具 MBSA(Microsoft 基准 安 
全 分 析 器 ) 。 


12.3 禁止 默认 共享 


1. 什么 是 默认 共享 

Windows 2000/XP/2003 版 本 的 操作 系统 提供 了 默认 共享 功能 ,这 些 默 认 的 共享 都 有 
$ 标 志 , 意 为 隐 含 的 ,包括 所 有 的 逻辑 盘 CC$、DS$ 、ES 等 ) 和 系统 目录 (admin $ ) 。 

2. 带 来 的 问题 

微软 的 初衷 是 便于 网 管 进行 远程 管理 ,这 虽然 方便 了 局 域 网 用 户 ,但 对 个 人 用 户 来 说 这 
样 的 设置 是 不 安全 的 。 如 果 计 算 机 联网 ,网 络 上 的 任何 人 都 可 以 通过 共享 硬盘 ,随意 进入 别 
人 的 计算 机 。 所 以 有 必要 关闭 这 些 共享 。Windows XP 在 默认 安装 后 允许 任何 用 户 通过 空 
用 户 连 接 (IPC $ ) 得 到 系统 所 有 账户 和 共享 列表 ,任何 一 个 远程 用 户 都 可 以 利用 这 个 空 的 
连接 得 到 目标 主机 上 的 用 户 列表 。 黑 客 就 利用 这 项 功能 ,查找 系统 的 用 户 列表 ,并 使 用 一 些 
字典 工具 ,对 系统 进行 攻击 。 这 就 是 网 上 较 流行 的 IPC 攻击 。 

3. 查看 本 地 共享 资源 

选择 “开始 ”一 "运行 ?中 输入 cmd, 在 命令 行 窗口 中 输入 net share, 如 图 12. 1 所 示 ,如果 
看 到 有 异常 的 共享 ,那么 应 该 关闭 。 但 是 有 时 关闭 共享 后 ,在 下 次 开机 的 时 候 又 出 现 了 , 那 
么 就 应 该 考虑 一 下 ,计算 机 是 否 已 经 被 黑客 所 控制 了 ,或 者 中 了 病毒 。 


| E:\ 点 认 共 享 

IIPC$ 和 性 1PC 
Cs | 

本 pi\ ER 
E: NB 

ongxiang E:\share 

hare PF: \share 

令 成 功 完成 。 


图 12.1 本 地 共享 资源 


4. 删除 共享 (每 次 输入 一 个 ) 
net share admin $ /delete 
net share c$ /delete 

net share d$ /delete 

net share e$ /delete 

net share {$ /delete 


(如 果 有 g、h 可 以 继续 删除 ) 


5. 注册 表 改 键 值 法 一 一 关闭 默认 共享 漏洞 

选择 “开始 ”一 “运行 ”, 输 入 regedit 确定 后 ,打开 注册 表 编 辑 器 ,找到 HKEY_LOCAL_ 
MACHINE\SYSTEM\ CurrentControlSet\ Service\ lanmanserver\ parameters 项 ,双击 右 
侧 窗 口中 的 AutoShareServer 项 将 键 值 设 为 0, 这样 就 能 关闭 硬盘 各 分 区 的 共享 。 如 果 没 有 
AutoShareServer 项 ,可 自己 新 建 一 个 类 型 为 REG_DWORD, 键 值 为 0 的 DWORD 值 。 然 
后 还 是 在 这 一 窗口 下 再 找到 AutoShareWks 项 ,类 型 为 “REG_DWORD”, 也 将 键 值 设 为 0， 
关闭 admin$ 共享 ,如 图 12. 2 所 示 。 


名 称 类 型 数据 
加 | 蔷 认 ) REG_SZ 路 得 未 设置 ) 
加 MjustedllullSessionPipes REG_DNORD 0x00000001 (1) 
辆 satodisconnect REG_DYORD 0x0000000E (15) 

AnatoSharaServer REG_DYORD 0x00000000 (0) 
了 | AntoShareWks REG_DYORD Ox00000000 (0) 
辆 misableDos REG_DYORD 0x00000000 (0) 
鸭 enableforcedlogoff REG_DYORD 0x00000001 (1) 
ensblesecuritysignature REG_DYORD 0x00000000 (0) 
辆 ouia REG_BINARY 75 80 53 27 22 03 67 42 a1 Se le £ 
国 Inannounce REG_DYORD 0x00000000 (D) 
eb]iullSessionFipes REG_MULTI_SZ COWNAP COMNODE SQLAQUERY SPOOLSS 工 
lab]liulSessionShares REG MULTI_SZ COWCFG LIFS$ 
requiresecuritysigmature REG_DYORD 0x00000000 (0) 
eb]serviceDll REG_EXPAND_SZ NSystenRoot%\Systen32\srvsve, dl 
国 5ize REG_DYORD 0x00000002 (2) 
国 :rveomnent REG_SZ 

图 12.2 修改 键 值 


最 后 到 HKEY_LOCAL MACHINE\SYSTEM \CurrentControlSet \Control \Lsa 项 
处 找到 restrictanonymous ,将 键 值 设 为 1。 如果 设置 为 1, 一 个 匿名 用 户 仍 然 可 以 连接 到 


IPC$ 共享 ,但 限制 通过 这 种 连接 得 到 列举 SAM 账号 和 共享 等 信息 ; 在 Windows 2000 中 
增加 了 2 ,限制 所 有 匿名 访问 除非 特别 授权 ,如 果 设 置 为 2 的 话 ,可 能 会 有 一 些 其 他 问题 发 
生 , 建 议 设置 为 1。 如 果 上 面 所 说 的 主键 不 存在 ,就 新 建 一 个 再 改 键 值 ,如 图 12. 3 所 示 。 
名 称 类 型 数据 
了 四] 伍 认 ) REG_SZ 侣 值 未 设置 ) 
国 suditbaseobjects REG_DWORD 0x00000000 (0) 
Bb] huthentication Packages REG_MULTI_SZ msvl_0 
园 pomas REG_BINARY 00 30 00 00 00 20 00 00 
国 crashonauditfail REG_IWORD 0x00000000 (0) 
较 disabledomainereds REG_IYORD 0x00000000 (0) 
everyoneincludesanonymous REG_IWORD 0x00000000 (0) 
国 fipsaleorithnpolicy REG_DYORD 0x00000000 (0) 
国 forceguest REG_DWORD 0x00000000 (0) 
follprivileseanditing REG_BINARY 00 
项 InpersonateFrivilegeUpgradeT. . 。 REG_DYORD 0x00000001 (1) 
linitblanlkpassworduse REG_IWORD 0x00000001 (1) 
国 1lnconpatibilitylevel REG_IMORD 0x00000000 (0) 
加 LssPid REG_INORD 0x000002s8 (680) 
Bnodefaultadninowner REG_DWORD Ox00000001 (1) 
nolnhash REG_DWORD 0x00000000 (0) 
eB)iotification Packages REG_MULTI_SZ scecli 
REG_DORD 0x00000001 (1) 
鸭 restrictanonymoussan REG_DYDRD Ox00000001 (1) 
SecureBoot REG_DYORD 0x00000001 (1) 
Bb]security Packages REG_INULTI_SZ kerberos msvl_0 schannel wdigest 第 
12 
图 12.3 修改 键 值 音 
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实验 3 Windows 扣 作 系统 的 魏 会 设置 


注意 : 修改 注册 表 后 必须 重启 机 器 才能 生效 ,但 一 经 改动 就 会 永远 停止 共享 。 
12.4 利用 IP 安全 策略 关闭 端口 


先 看 一 下 如 何 查 看 本 机 打开 的 端口 和 TCP/IP 端口 的 过 滤 ,选择 “开始 ”一 * 运 行 ? 并 输 


入 cmd, 输 入 命令 netstat -a, 如 图 12.4 所 示 。 


C:\Documents and Settings Adninistrator netstat -a 
Active Connections 


Proto Local fddress Foreign fddress 
TCP PC-298811211193 :epmap PC-280811211163:@ 
TCP 了 PC-298811211193:microsoft-ds 
TCP PC-299811211193 :912 PC-28068112111863:@ 
TCP PC-280811211183:18625 PC-286811211163:@ 
TCP PC-2998112111693:6959 了 PC-2B98811211163:9 
TCP PC-2608112111863:98616 ”PC-296811211163:B 
TCP PC-299811211193:9911 PC-286811211183:@ 
TCP 了 PC-298811211163 :nethbios-ssn 
TCP 了 PC-298811211163 :19825 
TCP PC-299811211163 :1926 
TCP PC-299811211163 :1158 
TCP 了 PC-299811211193 :1349 
TCP PC-299811211193 :nethbios-ssn 
TCP PC-296811211163:1359 
TCP 了 PC-298811211193 :nethbios-ssn 
UDP PC-280811211183:microsoft-ds 关 : 闪 
UDP PC-2968811211163 :isakmp *:x 

UDP PC-298811211193:4588 x:x 

UDP PC-299811211193 :ntp bed 


PC-286811211183:0@ 


图 12.4 开放 的 端口 


1. 关闭 自己 的 139 端口 (IPC 和 RPC 漏洞 存在 于 此 ) 


PC-288811211183:@ 


PC-280811211183:0 
PC-280811211183:1349 


了 PC-298811211163:1925 

了 PC-299811211193 :1925 
PC-299811211193:9 
219.238.235.94:http 
PC-2886811211183:@ 


State 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
ESTABLISHED 
LISTENING 
CLOSE_WAIT 
ESTABLISHED 
LISTENING 
ESTABLISHED 
LISTENING 


开启 139 端口 虽然 可 以 提供 共享 服务 ,但 是 常常 被 攻击 者 所 利用 进行 攻击 ,比如 使 用 流 


光 、SuperScan 等 端口 扫描 工具 ,可 以 扫描 目标 计 
算 机 的 139 端口 ,如 果 发 现 有 漏洞 ,可 以 试图 获取 
用 户 名 和 密码 ,这 是 非常 危险 的 。 关 闭 139 端口 
的 方法 是 在 “网 络 和 拨号 连接 ”中 * 本 地 连接 ”中 选 
取 “Internet 协议 (TCP/IP)” 属 性 ,进入 “高 级 
TCP/IP 设置 “WINS 设置 ”里面 有 一 项 “禁用 
TCP/IP 的 NETBIOS”, 打 勾 就 关闭 了 139 端口 ， 
如 图 12.5 所 示 。 

2. 445 端口 的 关闭 

445 端口 和 139 端口 一 起 是 IPC $ 入 侵 的 主 
要 通道 。 通 过 该 端口 可 以 偷偷 共享 硬盘 ,甚至 会 
在 悄 无 声息 中 将 硬盘 格式 化 。 所 以 关闭 445 端口 
是 非常 必要 的 , 封 堵 住 445 端口 漏洞 。 修 改 注 册 
表 , 添 加 一 个 键 值 HKEY_LOCAL_MACHINE\ 
System \ CurrentControlSet \ Services \ NetBT\ 


级 TCP/IP 设置 四 | 
再 设置 | ns | NTS | 选项 

YINS 地 址 控 使 用 顺序 排列 ) 他 ) 

二 


如 果 启 用 LIMDSTS 搂 索 , 它 将 应 用 于 所 有 启用 TCP/IF 的 连接 。 


回 局 用 UnnsTs 查询 由) 


NetBI0s 设置 

OND 

人 
HetBIOS. 

〇 启用 TCP/IP 上 的 WetBI0s 加 

四 共用 87 耻 下 的 - 本 


取消 


图 12.5 关闭 139 端口 


Parameters 在 右面 的 窗口 建立 一 个 SMBDeviceEnabled DWORD 值 , 类 型 为 REG _ 
DWORD, 键 值 为 0, 如 图 12.6 所 示 。 


引 | 名称 类 型 数据 
四 | 与 认 ) REG_SZ 伍 秆 未 设置 ) 
国 BeastkamequeryCount 了 REG_DYORD 0x00000003 (3) 
国 BecastQueryTimaont REG_INORD Ox000002ee (750) 
cacheTineout REG_INORD Ox000927c0 (600000) 
国 IhcplodeType 了 REG_DYORD 0x00000008 (8) 
国 znableUnnsTs REG_DYORD 0x00000001 (1) 
辆 Fanaserverpert 了 REG_DYORD Ox00000089 (137) 
国 NWanaSrvQueryCount REG_INORD 0x00000003 (3) 
区 FaneSrvQueryTineout 了 REG_DYORD Ox000005de (1500) 
Bb]bProvider REG_SZ tep 
国 5essionKeephlive REG_INORD 0x0036es80 (3600000) 
园 sizaysnall/lediuyLarge REG_INORD 0x00000001 (1) 
[eb]TransportBindlane REG_SZ Device\ 
REG_DHORD 0x00000000 (0) 


图 12.6 建立 键 值 


3. 禁止 终端 服务 远程 控制 .远程 协助 

“终端 服务 ”是 Windows XP 在 Windows 2000 系统 (Windows 2000 利用 此 服务 实现 远 
程 的 服务 器 托管 ) 上 遗留 下 来 的 一 种 服务 形式 。 用 户 利用 终端 可 以 实现 远程 控制 .“ 终 端 服 
务 ” 和 “远程 协助 "是 有 一 定 区 别 的 ,虽然 都 实现 的 是 远程 控制 ,终端 服务 更 注重 用 户 的 登录 
管理 权限 , 它 的 每 次 连接 都 需要 当前 系统 的 一 个 具体 登录 ID, 且 相互 隔离 ,并 独立 于 当前 计 
算 机 用 户 的 邀请 ,可 以 独立 .自由 登录 远程 计算 机 。 

在 Windows XP 系统 下 ,终端 服务 ”是 被 默认 打开 的 ,也 就 是 说 ,如 果 有 人 知道 你 计算 
机 上 的 一 个 用 户 登录 ID ,并 且 知 道 计算 机 的 IP, 它 就 可 以 完全 控制 你 的 计算 机 。 

在 Windows XP 系统 里 关闭 “终端 服务 ”的 方法 如 下 : 右 击 选择 “我 的 计算 机 ”一 “ 属 
性 选择“ 远程? 项, 去掉" 人 允许 用 户 远程 连接 到 这 人 台 计 算 机 ?前 面 的 ”/ ” 即 可 ,如 图 12.7 所 示 。 

在 Windows XP 上 有 一 项 名 为 “远程 协助 ”的 功能 , 它 多 许 用 户 在 使 用 计算 机 发 生 困 难 
时 ,向 MSN 上 的 好 友 发 出 远程 协助 邀请 ,来 帮助 自己 解决 问题 。 

而 这 个 “远程 协助 ”功能 正 是 “冲击 波 ” 病 毒 所 要 攻击 的 RPC(Remote Procedure Call) 服 
务 在 Windows XP 上 的 表现 形式 。 建 议 用 户 不 要 使 用 该 功能 ,使 用 前 也 应 该 安装 Microsoft 
提供 的 RPC 漏洞 工具 和 “冲击 波 ” 免 疫 程序 。 禁 止 * 远 程 协助 ”的 方法 是 : 右 击 选择 “我 的 计 
算 机 ”一 “属性 ”, 选 择 “ 远 程 ”项 ,去 掉 “ 允 许 从 这 台 计 算 机 发 送 远 程 协 助 洲 请 ”前 面 的 “VV” 即 可 。 

4. 屏蔽 闲置 的 端口 

使 用 系统 自 带 的 “TCP/IP 筛选 服务 ”就 能 够 限制 端口 。 方 法 如 下 : 在 “网 络 连接 ”上 单 
击 右键 ,选择 * 属 性”, 打 开 * 网 络 连接 属性 ?对话 框 ,在 “常规 ?项 里 选中 里 面 的 “Internet 协议 
(TCP/IP)” 然 后 单 击 下 面 的 “属性 ”按钮 ,在 “Internet 协议 (TCP/IP) 属 性 ”窗口 里 , 单 击 下 
面 的 “高 级 ”按钮 ,在 弹出 的 “高 级 TCP/IP 设置 "窗口 里 选择 “选项 ”项 ,再 单 击 下 面 的 “属性 ” 
按钮 ,最 后 弹出 “TCP/IP 筛选 ?窗口 ,通过 窗口 里 的 “只 允许 ” 单 选 框 ,分 别 添加 TCP、UDP、 
IP 等 网 络 协议 允许 的 端口 ,如 图 12. 8 所 示 , 然 后 添加 需要 的 TCP 和 UDP 端口 就 可 以 了 ,如 
果 对 端口 不 是 很 了 解 的 话 , 不 要 轻易 进行 过 滤 , 不 然 可 能 会 导致 一 些 程序 无 法 使 用 。 未 提供 各 
种 服务 的 情况 ,可 以 屏蔽 掉 所 有 的 端口 。 这 是 最 佳 的 安全 防范 形式 ,但 是 不 适合 初学 者 操作 。 


实验 3 Windows 扣 作 系统 的 魏 会 设置 


常规 计算 机 名 j】 硬件 


[高 级 系统 还 原 工 自动 更 新 ] 远程 | 


€ 24 选择 可 以 从 另 一 个 位 置 使 用 这 各 计算 机 的 方式 。 


远程 协助 


回 区 许 从 这 人 台 计 算 机 发 送 远程 协助 邀请 @B) 
么 是 远程 有 


PC-200811211103 


填 么 是 远程 捍 面 ? 


远程 连接 到 此 计算 机 的 用 户 的 用 户 账 己 必 须 包 合 密 码 - 
indows 防火 墙 格 配置 为 允许 远程 桌面 连接 到] 此 i 计算机。 


选择 远程 用 户 @) 


|L_ 取 六 [ 应 用 心 ) 


图 12.7 取消 远程 连接 


12. S 


12.5.1 


回 启 月 TCP/IP 第 选 所 有 适配器 ) E) 


人 〇 全 部 区 许 四 ) 口 全 部 允许 四 〇 全 部 多 许 四 
加 只 允许 四 加 Ri 许 四 OR 
Tr 端口 | WF 端口 了 亚 协 议 | 
50 8080 25 
添加 [和 |] | WE 
量 除 到) [ao ] 划 除 m ] 
[me ][ mw 
图 12.8 网 络 协议 允许 的 端口 


设置 策略 项 ,做 好 内 部 防御 


服务 策略 一 一 禁用 服务 


若 PC 没有 特殊 用 途 , 基 于 安全 考虑 ,选择 “控制 面板 >“ 管理 工具”>“ 服 务 ”, 如 图 12.9 


所 示 。 
pr 
局 动 此 服务 


描述 
通知 所 选用 户 和 计算 机 有 关系 
二 警报 。 加 果 服 务 停止 ， 使 用 


统 首 理 
管理 警 


报 的 程序 将 不 会 受到 它们。 如 果 此 服 
务 裤 禁用 ， 任 何 直接 代 束 己 的 服务 都 
将 不 能 启动。 


名称 E23 
Application Leyer Gatersy Service 为 Internet 连接 共享 和 Yindows 防 、， 已 所 动 手动 
hpplicstion manageent 提供 软件 安装 服务 ， 活 如 分 涛 ， 发行 以 手动 
人 Dackground Intellieent Transfer Survice 在 后 台 伟 久 客 户 绽 和 最 务 吕 之 间 失 六 和 手动 
clipsook 局 用 “ 妈 辽 短 查 看 器 ”储存 信息 并 与 远 已 昔 用 
CO Event Systen 支持 拓 统 厄 牢 通知 服务 SES) ,此 服务 已 局 动 和 
CO Systen Application 管理 基于 Col+ 姐 件 的 也 置 和 限 中 ,各 手动 
Compater Brorser 维护 网络 上 计算 机 的 更 新 列表 ， 并 稳 列 ..。 已 和 动 到 
人 Cryptor hie Serviees 提供 三 种 答 香 服务 ， 护 录 数 元 库 服务 ， 已 启动 自动 
人 ICON Server Proeess Luaneher 为 DCOW 服务 提供 加 壳 功能 。 已 8 动 自动 
SP Client 通过 注册 更改 I 地 址 以 及 Dhs 各 ..， 已 启动 生动 
Distribated Link Trasking client 在 计算 机 内 7S 文件 之 间 保 皇 链 六 或， 已 局 动 目 动 
人 Distribsted Trasaction Coordinatr 协调 下 多 个 数据 库 、 消 息 队列 ， 文 件 系 手动 
各 ms Client 为 此 计算 机 解 折 和 缓冲 域 名 系统 ONS) 。 已 忆 动 自动 
Event Le 启用 在 事件 查看 器 查看 基于 Windors .， 已 启动 自动 
人 Extensible hathentication Frotocol Ser ， 向 Winiows 客户 这 提供 可 扩展 身份 哈 所 动 
Fast Veer sritching Compatitility 为 在 多 用 户 下 需要 均 贡 的 应 用 程序 提供 已 局 动 手动 
人 ealth Fay nd Certificate Wanagment ，， 和香 健 康 证 书 和 窑 铜 (出 MAP 使 用 ) 所 动 
Selp ma Suppert 启用 在 此 计算 机 上 运行 大 并 和 支持 中 心 反动 
TIP SSL 此 服务 通过 安全 套 接 字 层 65L) 实 现 江 天 动 
Jaman Interface Device hecess 局 用 对 智能 界面 设备 00) 的 通用 输入 综 用 
TMPT Ch-Burning CO Service 用 Image Nastering Applications Pr 手动 
Inderine Service 本 地 和 远程 计算 机 上 文件 的 素 引 内 容 和 手动 
人 IPSEC Serviees 管理 匡 安全 第 咯 以 及 启动 ISAIP/0、 .已 启 动 自动 
Sloeicnd Disk anseer 监测 和 监视 新 硬 全 开动 器 并 癌 刘 司 束 合 ，。 已 局 动 自动 
人 Leicu Disk hseer hdninistrative se，， 本 村 硬 鱼 对 动 器 和 卷 。 此 服务 只 为 配置 手动 
esseneer 传 近 客户 清和 服务 器 之 问 的 JET SHI ，。 已 局 动 手动 
Ss Softrare Shador Copy Provider 符 理 着 影 复制 服 务 拍手 的 软件 卷 影 复 仙 手动 
yet Loeon 支持 网 络 上 计算 机 pass-threugh 怀 户 手动 
Seteeting enote Desktop sharing 使 可 用 户 能 名 通过 使 用 Jietleetine 手动 
Setrork Access Protection Aeent 多 许 Windors 客户 靖 参 与 网络 访问 保护 手动 
etrork Comnections 管理 “了 入 和 技 呈 连接 ”文件 开 中 对 温 ，。 已 局 动 手动 
etroryk DDE 为 在 同一 台 计算 机 或 不 同 汗 竺 机 上 运行 EE 
matrork DDE TS 管理 动态 数据 六 的 _Dh0E) 网 络 共享 EM 有 
< 


图 12.9 服务 选项 


禁用 以 下 服务 
Alerter( 通 知 所 选用 户 和 计算 机 有 关系 统管 理 级 警报 ) 。 
ClipBook( 启 用 “剪贴 德 查看 器 ”储存 信息 并 与 远程 计算 机 共享 ) 。 
Human Interface Device Access( 启 用 对 智能 界面 设备 (HID) 的 通用 输入 访问 , 它 激 
活 并 保存 键盘 .远程 控制 和 其 他 多 媒体 设备 上 的 预先 定义 的 热 按钮 ) 。 
IMAPI CD-Burning COM Service( 用 Image Mastering Applications Programming 
Interface 管理 CD 录制 ) 。 
。 Indexing Service( 提 供 本 地 或 远程 计算 机 上 文件 的 索引 内 容 和 属性 ,泄露 信息 ) 。 
Messenger( 信 使 服务 ) 
NetMeeting Remote Desktop Sharing( 使 授权 用 户 能 够 通过 使 用 NetMeeting 跨 企 
业 intranet 远程 访问 此 计算 机 ) 。 
。 Network DDE( 为 在 同一 台 计 算 机 或 不 同 计算 机 上 和 运行 的 程序 提供 动态 数据 交换 ) 。 
。 Network DDE DSDM( 管 理 动态 数据 交换 (DDE) 网 络 共享 ) 。 
Print Spooler( 将 文件 加 载 到 内 存 中 以 便 迟 后 打印 ) 。 
。 Remote Desktop Help Session Manager( 管 理 并 控制 远程 协助 ) 。 
Remote Registry( 使 远程 用 户 能 修改 此 计算 机 上 的 注册 表 设 置 ) 。 
Routing and Remote Access( 在 局 域 网 以 及 广域网 环境 中 为 企业 提供 路 由 服务 。 黑 
客 利用 路 由 服务 刺探 注册 信息 ) 。 

。 Server( 支 持 此 计算 机 通过 网 络 的 文件 .打印 和 命名 管道 共享 ) 。 

。 TCP/IP NetBIOS Helper (允许 对 “TCP/IP 上 NetBIOS CNetBT)” 服 务 以 及 

NetBIOS 名 称 解析 的 支持 ) 。 
。 Telnet( 人 允许 远程 用 户 登 录 到 此 计算 机 并 运行 程序 ) 。 
。 Terminal Services( 允 许多 位 用 户 连接 并 控制 一 台 机 器 ,并 且 在 远程 计算 机 上 显示 桌 
面 和 应 用 程序 ) 。 

。 Windows Image Acquisition(WIA) (为 扫描 仪 和 照相 机 提供 图 像 捕 获 ) 。 

如 果 发 现 机 器 开启 了 一 些 很 奇怪 的 服务 ,如 r_server 这 样 的 服务 ,必须 马上 停止 该 服 
务 , 因 为 这 完全 有 可 能 是 黑客 使 用 控制 程序 的 服务 端 。 


12.5.2 审核 策略 


审核 策略 可 以 帮助 用 户 发 现 非法 入 侵 者 的 一 举 一 动 ,还 可 以 作为 用 户 将 来 追查 黑客 的 
依据 。 

选择 “管理 工具 ”一 “本 地 安全 设置 ">“ 本 地 策略 ”>“ 审 核 策略 ”, 把 审核 策略 设置 为 如 
图 12. 10 所 示 的 内 容 。 

然后 再 选择 “管理 工具 ”一 “事件 查看 器 ”。 

应 用 程序 : 通过 右 击 选择 “属性 ”来 设置 日 志 大 小 上 限 , 设 置 了 512 000KB, 选 择 不 改写 
事件 。 

安全 性 : 通过 右 击 选 择 “ 属 性 ”来 设置 日 志 大 小 上 限 , 设 置 了 512 000KB, 选 择 不 改写 
事件 。 

系统 : 通过 右 击 选择 “属性 ”来 设置 日 志 大 小 上 限 , 设 置 了 512 000KB, 选 择 不 改写 事件 。 


实验 3 Windows 操作 系统 的 颁 会 设置 


哇 - 


网 络 安 会 与 管理 


苇 安全 设置 
田 全 账户 策略 


四- 国 用 户 权利 指派 
让 > 
田 - 国 公 钥 策 略 


由 - 国 软件 限制 策略 
| 安 ;| 贺 审 核 系统 事 片 
由 电 严 安全 策略 ,在 本 地 计 训令 


图 12.10 审核 策略 设置 


12.5.3 安全 选项 


安全 选项 是 作为 增强 Windows 安全 的 最 佳 做 法 ,同时 也 为 攻击 者 设置 更 多 的 障碍 以 减 

少 对 Windows 的 攻击 的 重要 系统 安全 工具 ,在 “本 地 策略 ”>“ 安 全 选项 ”中 进行 如 下 设置 : 
。 交互 式 登 录 : 不 显示 上 次 的 用 户 名 (设置 为 启用 )。 

网 络 访问 : 不 允许 SAM 账户 的 匿名 枚 举 ( 设 置 为 “启用 ”) 。 

。 网 络 访问 : 让 “每 个 人 ”权限 应 用 于 匿名 用 户 ( 设 置 为 关闭 )。 

。 网 络 访问 : 可 匿名 的 共享 (将 后 面 的 值 删除 ) 。 

。 网 络 访问 : 可 匿名 的 命名 管道 (将 后 面 的 值 删除 ) 。 

。 网 络 访问 : 可 远程 访问 的 注册 表 路 径 ( 将 后 面 的 值 删除 ) 。 

。 网 络 访问 : 可 远程 访问 的 注册 表 的 子路 径 (将 后 面 的 值 删除 ) 。 

。 网 络 访问 : 限制 匿名 访问 命名 管道 和 共享 (将 后 面 的 值 删 除 )。 

。 网 络 安全 : 不 要 在 下 次 更 改 密码 时 存储 LAN Manager 的 Hash 值 (设置 为 “启用 ”)。 

。 关机 : 清除 虚拟 内 存 页 面 文件 (设置 为 启用”) 。 

。 关机 : 允许 在 未 登录 前 关机 (设置 为 关闭”) 。 

。 账户 ; 重 命名 系统 管理 员 账 户 (确定 一 个 新 名 字 ) 。 

。 账户 ; 重 命名 来 宾 账 户 ( 确 定 一 个 新 名 字 ) 。 


12.5.4 启用 安全 模板 


启用 前 ,请 记录 当前 系统 的 账户 策略 和 审核 
日 志 状 态 , 以 便于 同 实 验 后 的 设置 进行 比较 。 

(1) 选择 “开始 ”一 “运行 ”, 在 对 话 框 中 输入 
mmc, 打 开 系统 控 制 台 。 

(2) 选择 工具 栏 上 控制 台 ”, 在 弹出 的 菜单 中 
选择 “添加 /删除 管理 单元 ”, 单 击 “ 添 加 ”按钮 ,在 | sm , 
弹出 的 窗口 中 分 别 选择 “安全 模板 ”“ 安 全 设置 和 | 或 生 本 和 9 析 有 mc 窜 香 元 ， 它 用 安全 模 术 文件 提 洪 

Yindows 计算 机 的 安全 配置 和 分 析 。 
分 析 ”, 单 击 “ 添 加 ”按钮 后 关闭 窗口 ,再 单 击 “ 确 
定 ” 按 钮 ,如 图 12. 11 所 示 。 

(3) 此 时 系统 控制 台中 根 节点 下 添加 了 “安全 

模板 ”“ 安 全 设置 分 析 ” 两 个 文件 夹 , 打 开 “ 安 全 模 图 12.11 添加 控制 模块 


添加 独立 管理 单元 


EEE 


板 " 文 件 夹 ,可 以 看 到 系统 中 存在 的 安全 模板 ,如 图 12. 12 所 示 。 右 击 模板 名 称 , 选 择 “ 设 置 
描述 ”, 可 以 看 到 该 模板 的 相关 信息 。 选 择 “ 打 开 ”, 右 侧 窗口 出 现 该 模板 的 安全 策略 ,双击 每 
个 安全 策略 可 看 到 其 相关 配置 。 


而 控制 台 根 节点 \ 安 全 模板 \C: \WINDOWSV\security\teaplates 


控制 台 根 节点 名 称 描述 
日 加 安全 模板 eonpatrs 放松 用 户 组 的 默认 文件 和 注册 表 权 限 ， 合 之， 
日 人 CWIDONS\security\tenplates| Fhisecde securedc 的 超 集 。 对 Lanllanager 身份 验证 ，. 


由 ompatws 


securews 的 超 集 。 对 Lsnllanager 身份 验证 


中 将 对 的 根 目录 权限 运用 于 0 磁盘 分 区 并 
由 EE 提供 增强 的 城 账户 策 咯 ， 限制 Lanllanager 
国 :erers 。。。 提供 骨 强 的 本 地 账户 第 咯 ， 限 害 Lenllan 身 
由 国 :eeog security 全 新 安装 系统 的 黑 认 安全 设置 

由 setup security 


居 安全 配置 和 分 析 
EF Tn 


区 
区 


图 12.12 安全 模板 


(4) 右 击 “ 安 全 设置 与 分 析 ”, 选 择 “ 打 开 数 据 库 ”。 在 弹出 的 对 话 框 中 输入 预 建安 全 数 
据 库 的 名 称 , 例 如 起 名 为 mycomputer. sdb, 单 击 “ 打 开 ” 按 钮 ,在 弹出 的 窗口 中 ,根据 计算 机 
准备 配置 成 的 安全 级 别 , 选 择 一 个 安全 模板 将 其 导入 。 

(5) 右 击 “ 安 全 设置 与 分 析 ”, 选 择 “ 立 即 分 析 计 算 机 ”, 单 击 “ 确 定 ” 按 钮 ,系统 开始 按照 
上 一 步 中 选 定 的 安全 模板 ,对 当前 系统 的 安全 设置 是 否 符合 要 求 进行 分 析 , 将 分 析 结 果 记 录 

(6) 右 击 “ 安 全 设置 与 分 析 ”, 选 择 “ 立 即 配 置 计算 机 ”, 则 按照 第 (4) 步 中 所 选 的 安全 模 
板 的 要 求 对 当前 系统 进行 配置 。 

(7) 在 实验 报告 中 记录 实验 前 系统 的 默认 配置 ,接着 记录 启用 安全 模板 后 系统 的 安全 
设置 ,记录 下 比较 和 分 析 的 结果 。 


12.5.5 新 建安 全 模板 


(1) 展开 “安全 模板 ”, 右 击 模 板 所 在 路 径 , 选 择 “ 新 加 模板 ”, 在 弹出 的 对 话 框 中 输入 预 
加 入 的 模板 名 称 mytem, 在 “安全 模板 描述 "中 填 入 “ 自 设 模 板 ”。 查 看 新 加 模板 是 否 出 现在 
模板 列表 中 。 

(2) 双击 mytem, 在 现实 的 安全 策略 列表 中 双击 “账户 策略 ”下 的 “密码 策略 ”, 可 发 现 其 
中 任 一 项 均 显示 “ 没 有 定义 ”, 双 击 预 设置 的 安全 策略 (如 “密码 长 度 最 小 值 ”)。 

(3) 在 “在 模板 中 定义 这 个 策略 设置 ”前 打 勾 ,在 框 中 填 入 密码 的 最 小 长 度 为 7。 

(4) 依次 设 定 “ 账 户 策略 ”“ 本 地 策略 ”等 项 目 中 的 每 项 安全 策略 ,直至 完成 安全 模板 的 设置 。 


12.5.6 用 户 权利 指派 策略 


打开 “管理 工具 ”一 “找到 本 地 安全 设置 ">“ 本 地 策略 >“ 用户 权利 指派 ”, 如 图 12. 13 
所 示 。 
(1)“ 从 网 络 访问 此 计算 机 ”里 面 一 般 默认 有 5 个 用 户 , 除 Administrators 外 删除 4 个 ， 


当然 , 接 下 来 还 得 创建 一 个 属于 自己 的 ID。 Ee 
(2) 从 远程 系统 强制 关机 ,Admin 账户 也 删除 ,一 个 都 不 留 。 章 


实验 3 Windows 损 作 系统 的 安 会 设置 


冲 安全 设置 | 入 路 安全 设置 
提名 账 P 第 四 | 一 各 人 文件 和 此 Min tr tens 
9 全 i | 辆 产生 安全 审核 LOCAL SERVICE, 了.- 
| 国 亨 壮 记 号 对 象 
| a 
上 自 公明 和 | 国生 中 aninistraters 
昌 创 明永 久 共享 对 
上 a 在 本 地 i 轴 从 插 按 工作 让 中 取出 计算 机 Aninistraters 
加 从 网 结 访问 此 计算 机 
| 辆 全 靖 系 纺 强 制 关机 
| 辆 调试 程序 Adninistrators 
| 辆 调整 进程 的 内 存 配额 IDCAL SERVICE, N... 
| 现 更 改 系 统 时 间 inistrators, ,.. 
| 国 关 闭 系统 Nnini stretors, ... 
| 国 管 理 审核 和 安全 日 志 slat 
| | 辆 还 原文 件 和 目录 Adninistrators, ... 


拒绝 本 地 登录 SUFPORT_386945a. . . 
| 8 拒绝 人 网络 访 问 这 和 计算 机 


图 12.13 用 户 权 利 指派 


(3) 拒绝 从 网 络 访问 这 台 计 算 机 ,将 ID 删除 。 
(4) 从 网 络 访问 此 计算 机 ,Admin 也 可 删除 ,如 果 你 不 使 用 类 似 3389 服务 。 
(5) 允许 通过 终端 服务 登录 。Admin 账户 也 删除 ,一 个 都 不 留 。 


12.5.7 账户 锁定 策略 


为 了 防止 他 人 进入 计算 机 时 反复 猜测 密码 进行 登录 ,可 以 锁定 无 效 登 录 , 当 密码 输入 错 
误 达 设 定 次 数 后 , 便 锁 定 此 账户 ,在 一 定时 间 内 不 能 再 以 该 账户 登录 。 

选择 本 地 安全 设置 ”账户 策略 ”一 "账户 锁定 策略 ”, 打 开 * 账 户 锁定 阔 值 ?对 话 框 , 设 
置 3 次 无 效 登 录 就 锁 住 账号 ,如 图 12. 14 所 示 。 


七 安全 设置 用 3 安全 设置 
日 的 账户 策略 加 复位 账户 镇定 计数 器 不 适用 
国 账 户 馈 定时 间 Ts 


让 国 审核 策略 账户 锁定 阔 值 尾 性 


由 四 公 名 第 略 | 本 
向 国 软件 限制 策略 全 


图 12.14 设置 锁定 阔 值 


复位 账户 锁定 计数 器 (确定 30 分 钟 以 后 ) ,确定 (账户 锁定 时 间 30 分 钟 ), 如 图 12. 15 
所 示 。 


建议 的 数值 改动 [| 
因由 定局 的 现在 是 3 次 无 将 录 ， 下列 项 目的 计生 成 寻 的 
和 要 所 话 计 建议 的 设置 
丽 复 三 王 户 顶 定 寺 小 吕 和 用 30 分 名 之 后 
贺 账 P 铝 定时 间 不 用 30 分 名 
< > 
I] 


图 12.15 锁定 计数 器 与 时 间 


12.5.8 用 户 策 略 
选择 “管理 工具 ”>* 计 算 机 管理 ”>“ 本 地 用 户 和 组 ”~>* 用 户 ”, 如 图 12. 16 所 示 。 


号 计算 机 管理 体 地 ) 名 称 全 名 描述 
系统 工具 一 mware wser ss War User 
由 加 事件 查看 器 i 系统 管理 员 

0 Guest 供 来 宾 访 问 计算 机 或 
合用 户 Helphssistant 运程 桌面 助手 账户 提供 远程 协助 的 账户 
辐 组 嘱 srohT 3asss4sa CH=Microsoft Corporat. . . 这 是 一 个 帮助 和 支持 有 
性 能 日 志和 警报 时 WISR_Pc-200811211103 Ysh Server Account Visual Studio Analj| 
设备 管理 器 


图 12.16 删除 用 户 
删除 Support_388945a0 用 户 等 。 只 留 下 更 改 好 名 字 的 administrator 权限 。 
12.5.9 关闭 自动 运行 功能 


(1) 执行 “开始 ”>“ 运 行 " 菜 单 命 令 , 输 入 gpedit. msc, 并 运行 ,打开 “组 策略 ”窗口 。 
(2) 在 左 栏 的 “本 地 计算 机 策略 ”下 ,打开 “计算 机 配置 "一 “管理 模板 ”一 “系统 ”, 然 


右 栏 的 “设置 "标题 下 ,双击 “关闭 自动 播放 ”, 如 图 12. 17 所 示 。 


后 在 


文件 四 ” 换 作 外 查看 由 帮助 
和 了 加 | 困 | 团 驴 国 团 
本 “本 地 计算 机 ”第 略 
日 加 计算 机 配置 
人 关闭 自动 拓 放 设置 
田 国 Windoxs 设置 一 
日 加 管理 模板 “ 玫 铺 不 要 自动 加 守 移 有 加密 文 件 天 中 的 文件 
四 加 Yindows 粗 件 显示 属性 鱼 对 指定 的 文件 夹 限制 潜在 不 安全 的 “HTHL 帮助 ”功能 
由 知 系统 要 求 鳃 关闭 findovs Update 设备 驱动 程序 搜索 提示 
由 回 网络 至 少 是 eroseft Windows 2000 角 EEEERET 
自打 pi 全 激活 “关闭 事件 跟踪 程序 系统 状态 数 反 ”功能 
田 起 用 户 甩 置 es 全 月 用 永久 性 时 间 禹 
关闭 自动 运行 功能 。 鱼 吧 除 局 动 / 关机 / /注销 所 老 消 息 
A 
行 就 开始 从 弛 动 器 中 读 取 。 这 会 千 显示 本 
成 程序 的 设置 六 件 和 在 音频 媒体 上 鲁 限制 这 些 程序 人 帮助 所 动 间 
的 音乐 会 立即 开始 。 人 
和 坟 恒 [无 帮 了 
图 12.17 关闭 自动 播放 
(3) 选择 “设置 ”选项 卡 ,选取 “已 启用 ” 复 选 按钮 ,然后 在 “关闭 自动 播放 ” 框 中 选择 “所 
有 了 驱动器”, 单 击 “ 确 定 ” 按 钮 ， ee 口 , 如 图 12. 18 所 示 。 
TE EE 
设置 “| 说 明 
第 关 癌 和 动 播放 
OO 〇 EEC) 
©EBARE 
个 E 蓉 用 四 ) 
关闭 自动 播放 : 所 有 3E 动 器 。 ”总 


图 12.18 启动 服务 


实验 3 Windows 扣 作 系统 的 安 会 设置 
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在 “用 户 配 置 ” 中 同样 也 可 以 定制 这 个 “关闭 自动 播放 ”。 但 “计算 机 配置 ”中 的 设置 比 
“用 户 配置 "中 的 设置 范围 更 广 。 有 助 于 多 个 用 户 都 使 用 这 样 的 设置 。 


12.6 文件 加 密 系 统 


每 个 人 都 有 一 些 不 希望 别人 看 到 的 东西 ,例如 学 习 计 划 、 情 书 等 ,大 家 都 喜欢 把 它们 放 
在 一 个 文件 夹 里 ,采用 Windows 自 带 的 文件 夹 加 密 功 能 来 实现 对 文件 加 密 , NTFS 是 
WinNT 以 上 版 本 支持 的 一 种 提供 安全 性 、 可 靠 性 的 高 级 文件 系统 。 在 Win2000 和 WinXP 
中 ,NTFS 提供 诸如 文件 和 文件 夹 加 密 的 高 级 功能 。 


12.6.1 加 密 文 件 或 文件 夫 


(1) 打开 Windows 资源 管理 器 。 

(2) 右 击 要 加 密 的 文件 或 文件 夹 ,然后 选择 “属性 ”。 

(3) 在 “常规 ”选项 卡 上 , 单 击 “ 高 级 "选项 。 选 中 “加 密 内 容 以 便 保护 数据 " 复 选 框 ,如 
图 12. 19 所 示 。 


高 级 属性 BE 


[吉庆 用 于 文件 天 的 设置。 
居于 

存 基 和 编制 家 引 属性 

可 以 存档 文件 天 () 

回 为 了 快 扫 索 ， 人 允许 索引 服务 编制 当 六 件 天 的 案 引 I) 

压 稀 或 加 密 必 性 

压 绝 内 容 以 便 节 省 诬 盘 空间 C) 

回 烦 妆 丙 容 以 便 保 护 源 据 下] 


[WE | 陨 


图 12.19 加密 选 项 


在 加 密 过 程 中 还 要 注意 以 下 几 点 : 

(1) 只 可 以 加 密 NTFS 分 区 卷 上 的 文件 和 文件 夹 ,FAT 分 区 卷 上 的 文件 和 文件 夹 
无 效 。 

(2) 被 压缩 的 文件 或 文件 夹 也 可 以 加 密 。 如 果 要 加 密 一 个 压缩 文件 或 文件 夹 , 则 该 文 
件 或 文件 夹 将 会 被 解压 。 

(3) 无 法 加 密 标 记 为 “系统 ”属性 的 文件 ,并 且 位 于 操作 系统 根 目录 结构 中 的 文件 也 无 法 
加 密 。 

(4) 在 加 密 文 件 夹 时 ,系统 将 询问 是 否 要 同时 加 密 它 的 子 文件 夹 。 如 果 选 择 是 , 那 它 的 
子 文件 夹 也 会 被 加 密 ,以 后 所 有 添加 进 文件 夹 中 的 文件 和 子 文件 夹 都 将 在 添加 时 自动 加 密 。 

加 密 后 用 不 同 用 户 登录 计算 机 ,查看 加 密 文件 是 否 能 够 打开 。 


12.6.2 备份 加 密 用户 的 证 书 
用 户 对 文件 的 加 密 后 ,在 重 装 系统 或 删除 用 户 前 一 定 要 备份 加 密 用 户 的 证 书 , 否 则 重 装 


系统 或 删除 用 户 后 加 密 文件 将 无 法 被 访问 。 
(1) 以 加 密 用 户 登 录 计算 机 。 
(2) 执行 “开始 ”>“ 运 行 " 菜 单 命令 ,输入 mmc, 然 后 单 击 “ 确 定 ” 按 钮 。 
(3) 在 “控制 台 ” 菜 单 上 , 单 击 “ 添 加 /删除 管理 单元 ”, 然 后 单 击 “添加 ”按钮 。 


(4) 在 “单独 管理 单元 "下 ,选择 “证 书 ”, 然 后 单 击 “ 添 加 ”按钮 ,如 图 12. 20 所 示 。 
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管理 单元 A 
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二 担 策略 对 象 编辑 器 D 

佑 组 件 服务 由 


eo 自己 的 、 一 个 服务 的 或 一 台 计 算 机 的 证 书 


[ae 
图 12. 20 添加 证 书 模块 


(5) 选择 “我 的 用 户 账户 ”, 然 后 单 击 “ 完 成 "按钮 。 
(6) 单 击 “ 关 闭 ” 按 钮 ,然后 单 击 “ 确 定 ” 按 钮 。 


(7) 双击 “证 书 一 一 当前 用 户 ” 选 项 ,双击 “个 人 ”选项 ,然后 双击 “证 书 ” 选 项 ,如 图 12. 21 
所 示 。 


所 控制 台 根 节点 \ 证 书 - 当前 用 户 \ 个 人 \ 证 书 

国 控制 台 根 节点 | _ 合 发 给 
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名 证 国 Topsaee TopSage 2012-8-11 所 有 > 
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图 12.21 显示 加 密 证 书 


(8) 单 击 “预期 目的 ” 栏 中 显示 “加 密 文件 ”字样 的 证 书 。 

(9) 右 击 该 证 书 ,指向 “所 有 任务 ”, 然 后 单 击 “ 导 出 ”按钮 ,如 图 12. 22 所 示 。 

(10) 按照 证 书 导 出 向 导 的 指示 将 证 书 及 相关 的 私 钥 以 PFX 文件 格式 导出 (注意 : 推荐 
使 用 "导出 私 钥 ”方式 导出 ,如 图 12. 23 所 示 ,这样 可 以 保证 证 书 受 密码 保护 ,以 防 别人 盗用 。 
另外 ,证 书 只 能 保存 到 你 有 读 写 权限 的 目录 下 ) 。 

(11) 保存 好 证 书 , 将 PFX 文 件 保存 好 。 以 后 重 装 系统 之 后 无 论 在 哪个 用 户 下 只 要 双 


击 这 个 证 书 文件 ,导入 这 个 私人 证 书 就 可 以 访问 NTFS 系统 下 由 该 证 书 的 原 用 户 加 密 的 文 | 12 
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网 络 安 会 与 管理 
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图 12.22 导出 证 书 


如 果 要 将 筷 钥 跟 证 书 一 起 导出 ， 悠 必须 在 后 面 一 页 上 键入 密 


要 格 私 角 跟 证 书 一 起 导出 吗 ? 
[OL PE 
〇 不, 不 要 导出 私 钼 四 ) 


图 12.23 导出 私 钥 


最 后 要 提 一 下 ,这 个 证 书 还 有 下 述 用 途 。 
给 予 不 同 用 户 访问 加 密 文 件 夹 的 权限 : 将 我 的 证 书 按 “ 导 出 私 钥 ”方式 导出 ,将 该 证 

书 发 给 需要 访问 这 个 文件 夹 的 本 机 其 他 用 户 。 然 后 由 其 他 用 户 登录 ,导入 该 证 书 , 实 现 对 这 
个 文件 夹 的 访问 。 

@ 在 其 他 WinXP 机 器 上 对 用 “备份 恢复 ”程序 备份 的 以 前 的 加 密 文件 夹 的 恢复 访问 权 
限 ,将 加 密 文件 夹 用 “备份 恢复 ”程序 备份 ,然后 把 生成 的 Backup. bkf 连同 这 个 证 书 拷贝 到 
另外 一 台 WinXP 机 器 上 ,用 “备份 恢复 ”程序 将 它 恢复 出 来 (注意 : 只 能 恢复 到 NTFS 分 
区 )。 然 后 导入 证 书 , 即 可 访问 恢复 出 来 的 文件 了 。 


12.7 文件 和 数据 的 备份 


为 了 保护 服务 器 ,用 户 应 该 安排 对 所 有 数据 进行 定期 备份 。 建 议 安排 对 所 有 数据 (包括 
服务 器 的 系统 状态 数据 ) 进 行 每 周 普通 备份 。 普 通 备份 将 复制 您 选择 的 所 有 文件 ,并 将 每 个 
文件 标记 为 已 备份 。 此 外 ,还 建议 安排 进行 每 周 差异 备份 。 差 异 备份 复 制 自 上 次 普通 备份 
以 来 创建 和 更 改 的 文件 。 


12.7.1 安排 进行 每 周 普通 备份 


(1) 执行 “开始 ”>“ 运 行 " 菜 单 命令 ,输入 ntbackup, 然 后 单 击 * 确 定 ?按钮 ,此 时 会 出 现 
“备份 或 还 原 向 导 ”, 单 击 “ 下 一 步 ? 按 钮 。 

(2) 在 “备份 或 还 原 向 导 ” 页 面 中 ,确保 已 选择 “备份 文件 和 设置 ”, 然 后 单 击 " 下 一 步 " 按 
钮 ,在 “要 备份 的 内 容 ” 页 面 中 ,选择 “让 我 选择 要 备份 的 内 容 ”, 然 后 单 击 “ 下 一 步 ”按钮 。 


(3) 在 “要 备份 的 项 目 ” 页 面 上 , 单 击 项 目 以 展开 其 内 容 。 选 择 包含 应 该 定期 备份 的 数 
据 的 所 有 设备 或 文件 夹 的 复 选 框 ,然后 单 击 “ 下 一 步 ”按钮 ,如 图 12. 24 所 示 。 


12.24 备份 的 项 目 


(4) 在 “备份 类 型 .目标 和 名 称 ” 页 面 中 的 “选择 保存 备份 的 位 置 ? 中 , 单 击 下拉 菜 单 或 单 
击 “ 浏 览 ” 以 选择 保存 备份 的 位 置 。 在 “输入 这 个 备份 的 名 称 ” 中 ,为 该 备份 输入 一 个 描述 性 
名 称 , 然 后 单 击 " 下 一 步 ”按钮 ,如 图 12. 25 所 示 。 


12.25 ”备份 类 型 .目标 和 名 称 


(5) 在 “完成 备份 或 还 原 向 导 ”页 面 中 , 单 击 “ 高 级 "选项 ,在 “备份 类 型 "页 面 的 下 拉 菜 音 
中 选择 "正常 ”, 然 后 单 击 " 下 一 步 "按钮 ,如 图 12. 26 所 示 。 

(6) 在 “如 何 备份 ”页 面 中 选择 “备份 后 验证 数据 " 复 选 框 ,然后 单 击 * 下 一 步 "按钮 ,在 
“备份 选项 ”页面 中 ,确保 选择 了 “将 这 个 备份 附加 到 现 有 备份 ”选项 ,然后 单 击 “ 下 一 步 " 按 “ 第 
钮 ,如 图 12. 27 所 示 。 12 
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12.27 备份 选项 


(7) 在 “备份 时 间 ” 页 面 中 的 “什么 时 候 执行 备份 ”下 ,选择 “以 后 ”。 在 “计划 项 ”的 “作业 
名 ”中 输入 描述 性 名 称 , 然 后 单 击 “ 设 定 备 份 计划 ”按钮 ,如 图 12. 28 所 示 。 

(8) 选择 “计划 作业 ”对 话 框 的 “计划 任务 ”, 下 拉 菜 单 中 的 “每 周 ”"。 在 “开始 时 间 ” 中 ,使 
用 向 上 和 向 下 箭头 键 选择 开始 备份 的 适当 时 间 。 单 击 “ 高 级 ”选项 以 指定 计划 任务 的 开始 日 
期 和 结束 日 期 ,或 指定 计划 任务 是 否 按照 特定 时 间 间 隔 重 复 运行 。 在 “每 周 计划 任务 ”中 , 根 
据 需 要 选择 一 天 或 几 天 以 创建 备份 ,然后 单 击 “ 确 定 ” 按 钮 ,如 图 12. 29 所 示 。 

(9) 在 “设置 账户 信息 ”对 话 框 的 “运行 方式 ”中 ,输入 域 .工作 组 和 已 授权 执行 备份 和 还 
原 操 作 的 账户 的 用 户 名 。 使 用 domain \ username 或 workgroup \ username 格式 。 在 “ 密 
码 ” 中 输入 用 户 账户 的 密码 。 在 “确认 密码 ”中 再 次 输入 密码 ,然后 单 击 “ 确 定 ” 按 钮 ,如 
图 12. 30 所 示 。 在 “完成 备份 或 还 原 向 导 ” 页 面 中 ,确认 设置 ,然后 单 击 “完成 ”按钮 。 


Normal backup of C: and System State 


12. 30 设置 账户 信息 
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12.7.2 安排 进行 每 周 差异 备份 


操作 步骤 与 普通 备份 基本 相同 ,只 是 在 “备份 类 型 "页 面 的 选择 要 执行 的 备份 操作 类 型 
中 ,选择 “差异 ”, 然 后 单 击 “ 下 一 步 ?按钮 ,如 图 12. 31 所 示 。 


各 从 类 型 
可 过 择 和 人 您 的 项 要 的 备份 类 型 厂 
上 污 


指定 是 否 要 备份 迁移 到 了 渤 程 存储 中 的 文件 内 容 。 
厂 备份 迁移 的 远程 存储 数据 B) 


《上 一 步 @) 取消 


图 12.31 差异 备份 


12.7.3 从 备份 恢复 数据 


(1) 单 击 “ 开 始 ” 按 钮 ,然后 单 击 “ 运 行 " 按 钮 ,输入 ntbackup, 然 后 单 击 “ 确 定 ” 按 钮 ,此 时 
会 出 现 “ 备 份 或 还 原 向 导 ”。 单 击 “ 下 一 步 "按钮 。 

(2) 在 “备份 或 还 原 ” 页 面 中 , 单 击 “ 还 原文 件 和 设置 ”, 然 后 单 击 “下 一 步 ?按钮 。 在 “还 
原 项 目 ” 页 面 上 , 单 击 项 目 以 展开 其 内 容 。 选 择 包 含 要 还 原 的 数据 的 所 有 设备 或 文件 夹 , 然 
后 单 击 * 下 一 步 ?按钮 ,如 图 12. 32 所 示 。 


还 原 项 目 

您 可 还 原 任何 姐 合 形式 的 驱动 器 、 文 件 来 或 文件 。 柳 
双击 左 ; 项 目 以 查看 : 。 然 后， 选择 起 要 还 原 的 驱 
对 
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] 园 Hara drive and sy| 回 局 Deements ana 


lc | Dmpics 
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图 12.32 还 原 项 目 


(3) 在 “完成 备份 或 还 原 向 导 ” 页 面 中 ,如 果 您 要 更 改 任何 高 级 还 原 选 项 ,例如 还 原 安全 
设置 和 交接 点 数据 ,请 单 击 “ 高 级 ”选项 。 完 成 设置 高 级 还 原 选 项 后 , 单 击 “ 确 定 ” 按 钮 。 验 证 
是 否 所 有 设置 都 正确 ,然后 单 击 “ 完 成 ”按钮 。 


12.8 利用 MBSA 检查 和 配置 系统 安全 


MBSA(Microsoft 基准 安全 分 析 器 ) 是 微软 公司 提供 的 安全 审计 工具 ,MBSA Version 
1.2 包括 可 执行 本 地 或 远程 Windows 系统 扫描 的 图 形 和 命令 行 界 面 。MBSA 运行 在 
Windows 2000 和 Windows XP 系统 上 ,可 以 扫描 系统 以 发 现 常见 的 系统 配置 错误 ,MBSA 
可 以 从 微软 免费 下 载 ,其 安装 过 程 也 非常 简单 ,按照 提示 一 步 步 安 装 即 可 。 下 面 对 MBSA 
的 使 用 方法 进行 介绍 。 

下 载 地 址 ; http://www. microsoft. com/ china/ technet/ security/ tools/ mbsahome. mspx# EBB, 

检查 系统 漏洞 的 步骤 如 下 : 

(1) 双击 打开 MBSA ,在 弹出 的 窗口 中 选择 Scan a computer, 如 图 12. 33 所 示 。 


yn Security Analyzer 


图 12. 33 扫描 计算 机 


(2) 在 弹出 的 窗口 中 填写 本 地 计算 机 名 称 或 者 IP 地 址 ,并 选择 希望 扫描 的 漏洞 类 型 。 
这 里 采用 全 部 漏洞 扫描 , 单 击 start scan 按钮 ,扫描 计算 机 。 

注意 : 由 于 扫描 过 程 中 需要 连接 Microsoft 网 站 ,因此 需要 事先 配置 好 网 络 。 

(3) 扫描 完成 后 ,在 实验 报告 中 记录 扫描 结果 。 

(4) 查看 安全 性 报告 并 手动 修复 漏洞 。 

安全 性 报告 中 ,最 左 侧 一 览 为 评估 报告 ,其 中 红色 和 黄色 的 又 号 表示 该 项 目 未 能 通过 测 
试 ; 雪花 图 标 表示 该 项 目 还 可 以 进行 优化 ,也 可 能 是 程序 跳 过 了 其 中 的 某 项 设置 ; 感叹 号 
表示 尚 有 更 详细 的 信息 ; 绿色 的 对 勾 表示 该 项 目 已 通过 测试 ， What was scan 表明 检查 的 
项 目 ,result scan 中 详细 地 说 明了 该 项 目 中 出 现 的 问题 ,how to correct this 说 明了 解决 的 
方式 ,如 图 12. 34 所 示 。 

@ 首先 查看 报告 中 评估 结果 为 又 号 的 项 目 ( 这 里 选择 file system) ,打开 result detail， 
查看 该 项 检查 中 出 现 的 具体 问题 ,如 图 12. 35 所 示 。 

@ 单 击 how to correct this 按钮 ,弹出 的 窗口 显示 了 有 关 如 何 修改 项 目 设 置 的 提示 信 
息 。 根 据 提 示 ,我 们 可 以 修改 不 符合 安全 性 要 求 的 设置 。 

@ 完成 修改 后 ,再 次 进行 扫描 ,查看 修改 后 的 设置 是 否 已 经 达到 安全 要 求 。 
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图 12.34 扫描 报告 


Baseline Security Analyzer 


Not all hard drives are using the NTFS file system. 
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图 12.35 扫描 问题 


实验 思考 题 


. 计算 机 中 常用 服务 都 使 用 了 哪些 端口 ? 

. 如 何 建立 一 个 相对 比较 安全 的 共享 ? 

. 如 何 根据 网 络 环境 不 同 快速 调整 安全 策略 ? 
. 加 密 证 书 如 何 保存 才 会 安全 ? 

. 计算 机 中 哪些 数据 需要 定期 备份 ? 

. 漏洞 扫描 工具 有 什么 作用 ? 


-> 


第 13 章 | 实验 4 PGP 软件 的 安装 与 使 用 


13.1 实验 目的 及 要 求 


13.1.1 实验 目的 


通过 实验 操作 掌握 PGP 软件 的 安装 与 基本 功能 使 用 、 对 于 加 密 软件 的 原理 具有 一 定 的 
了 解 。 能 够 实现 常用 的 加 密 功能 。 


13.1.2 实验 要 求 


根据 教材 中 介绍 的 PGP 软件 的 功能 和 步骤 来 完成 实验 ,在 掌握 基本 功能 的 基础 上 , 实 
现 日 常 加 密 应 用 ,给 出 实验 操作 报告 。 


13.1.3 实验 设备 及 软件 


2 台 安装 Windows 2000/XP 操作 系统 的 计算 机 ,磁盘 格式 配置 为 NTFS, 局 域 网 环境 、 
FTP 服务 器 .PGP 8. 1 中 文 版 软件 。 


13.2 PGP 简介 与 基本 功能 


PGP, 全 称 Pretty Good Privacy, 一 种 在 信息 安全 传输 领域 首选 的 加 密 软件 ,其 技术 特 
性 是 采用 了 非 对 称 的 “ 公 钥 和”" 私 钥 ? 加 密 体系 。 由 于 美国 对 信息 加 密 产品 有 严格 的 法 律 约 
束 , 特 别 是 对 向 美国 `, 加 拿 大 之 外 国家 散播 该 类 信息 ,以 及 出 售 发 布 该 类 软件 约束 更 为 严 
格 。 因 此 限制 了 PGP 的 发 展 和 普及 ,现在 该 软件 的 主要 使 用 对 象 为 情报 机 构 ,政府 机 构 、 信 
息 安 全 工作 者 (例如 较 有 水 平 的 安全 专家 和 有 一 定 资历 的 黑客 ),PGP 最 初 的 设计 主要 是 用 
于 邮件 加 密 , 如 今 已 经 发 展 到 了 可 以 加 密 整 个 硬盘 、 分 区 .文件 ,文件 夹 、. 集 成 进 邮件 软件 进 
行 邮件 加 密 , 甚 至 可 以 对 ICQ 的 聊天 信息 实时 加 密 。 用 户 双方 只 要 安装 了 PGP ,就 可 利用 
其 ICQ 加 密 组 件 在 用 户 双方 聊天 的 同时 加 密 或 解密 ,和 正常 使 用 没有 什么 差别 ,最 大 程度 
地 保证 了 网 络 两 端 用 户 的 聊天 信息 不 被 窃取 或 监视 。 


13.2.1 安装 


和 其 他 软件 一 样 ,运行 安装 程序 后 ,经 过 短暂 的 自 解压 准备 安装 的 过 程 后 ,进入 安装 界 
面 , 先 是 欢迎 信息 , 单 击 NEXT 按钮 ,然后 是 许可 协议 ,这 是 必须 无 条 件 接受 的 。 单 击 YES 
按钮 ,进入 提示 安装 PGP 所 需要 的 系统 以 及 软件 配置 情况 的 界面 ,建议 阅读 一 下 ,继续 单 
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击 NEXT 按钮 ,出 现 创建 用 户 类 型 的 界面 ,如 图 13. 1 所 示 。 


User Type 
Please lel us fyou have enisting PGP Keyings you'd Ike to use. 


Do you ahead have PGP keyings you would ke to use? 


(Yes. | aheady have keyings 


图 13.1 创建 用 户 类 型 


选择 “No,1’m a New User”, 这 是 告诉 安装 程序 是 新 用 户 , 需 要 创建 并 设置 一 个 新 的 用 
户 信 息 。 继 续 单 击 NEXT 按钮 ,来 到 了 程序 的 安装 目录 (安装 程序 会 自动 检测 系统 ,并 生成 
以 系统 名 为 目录 名 的 安装 文件 夹 ) 建 议 将 PGP 安装 在 安装 程序 默认 的 目录 ,也 就 是 系统 盘 
内 ,程序 很 小 ,不 会 对 系统 盘 有 什么 大 的 影响 。 再 次 单 击 NEXT 按钮 ,出 现 选择 PGP 组 件 
的 窗口 ,安装 程序 会 检测 系统 内 所 安装 的 程序 ,如 果 存 在 PGP 可 以 支持 的 程序 , 它 将 自动 选 
中 该 支持 组 件 ,如 图 13. 2 所 示 。 


Select Components 1 
Choose Ihe components Setup wl install pe 


ET 


图 13.2 选择 组 件 


第 一 个 是 磁盘 加 密 组 件 ,第 二 个 是 ICQ 实时 加 密 组 件 , 第 三 个 是 微软 的 Outlook 邮件 
加 密 组 件 ,第 四 个 是 Outlook Express 加 密 组 件 ,第 五 个 Qualcomm Eudora, 是 一 套 功能 全 
面 的 E-Mail 客户 端 软件 和 第 六 个 组 件 Groupwise 是 Novell 公司 的 邮件 服务 器 。 后 面 的 安 
装 过 程 就 只 需 一 直 单 击 NEXT 按钮 ,最 后 再 根据 提示 重新 启动 系统 即 可 完成 安装 。 


13.2.2 创建 和 设置 初始 用 户 
重启 后 ,进入 系统 时 会 自动 启动 PGPtray. exe, 这 个 程序 是 用 来 控制 和 调用 PGP 的 全 


部 组 件 的 ,如 果 没 有 必要 每 次 启动 的 时 候 都 加 载 它 ,可 以 这 样 取消 它 的 启动 : 选择 “开始 ”一 
“所 有 程序 ”>“ 启 动 ”, 在 这 里 删除 PGPtray 的 快捷 方式 即 可 。 接 下 来 进入 新 用 户 创建 与 设 
置 。 启 动 PGPtray 后 ,会 出 现 一 个 “PGP 密 钥 生成 向 导 ”, 单 击 * 下 一 步 ?按钮 ,进入 “用 户 和 名 
和 电子 邮件 分 配 ?界面 ,在 “全 名 ”处 输入 想 要 创建 的 用 户 名 ,Email 地 址 ”处 输入 用 户 所 对 
应 的 电子 邮件 地 址 ,完成 后 单 击 * 下 一 步 ” 按 钮 ,如 图 13. 3 所 示 。 


[了 


分 配 姓 名 和 电子 信箱 
每 一 个 富 钥 对 都 有 一 个 与 其 关联 的 星 各 .姓名 和 电子 信箱 地 址 让 你 的 通信 人 知道 
好 们 正在 使 用 的 公 钥 属 于 你 . 


全 名 (be 


被 关联 的 电子 信箱 地 址 和 你 的 密 钥 对 ,你 格 会 使 PGP 协 助 你 的 通信 人 在 与 你 通信 
时 选择 正确 的 公 铀 ， 


malt(E): [shelsins. cea en 


图 13.3 用 户 名 和 电子 邮件 分 配 


接 下 来 进入“ 分 配 密码 ” ,在 “密码 ”处 输入 需要 的 密码 ,在 “确认 ”处 再 输入 一 次 ,长 度 必 
须 大 于 8 位 ,建议 为 12 位 以 上 ,如 果 出 现 “Warning: Caps Lock is activated!1” 的 提示 信息 ， 
说 明 开 启 了 Caps Lock 键 (大 小 写 锁定 键 ) , 按 一 下 该 键 关闭 大 小 写 锁定 后 再 输入 密码 ,因为 
密码 是 要 分 大 小 写 的 。 最 好 别 取消 “隐藏 键入 ”的 选择 ,这 样 就 算 有 人 在 后 面 看 着 你 输入 ,也 
不 会 那么 容易 就 让 他 知道 你 的 输入 到 底 是 什么 ,更 大 程度 地 保护 密码 安全 。 完 成 后 单 击 “ 下 
一 步 " 按 钮 ,如 图 13.4 所 示 。 


[和 
分 配 密码 
你 的 彩 钥 将 会 被 密码 保护 ,这 些 信 息 很 重要 且 是 机 伟 的 ,你 不 要 格 它 写 下 来 . 


你 的 密码 至 少 应 该 有 8 位 字符 长 度 ,并 包含 数字 和 字母 


图 13.4 密码 输入 和 确认 


进入 密 钥 生 成 进程 ,等 待 主 密 钥 (Key) 和 次 密 钥 (Subkey) 生 成 完毕 。 单 击 “ 下 一 步 ? 按 


钮 ,进入 “完成 该 PGP 密 钥 生 成 向 导 ” 再 单 击 * 完 成 "按钮 ,用 户 就 创建 并 设置 好 了 。 
章 
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13.2.3 导出 并 分 发 你 的 公 铀 

启动 PGPkeys, 在 这 里 将 看 到 密 钥 的 一 些 基 本 信息 ,如 有 效 性 (PGP 系统 检查 是 否 符合 
要 求 , 如 符合 , 则 显示 为 绿色 ) 信任 度 、 大 小 、 描 述 、 密 钥 ID 创建 时 间 、 到 期 时 间 等 (如 果 没 
有 这 么 多 信息 ,使 用 菜单 里 的 “查看 ”命令 ,并 选中 里 面 的 全 部 选项 ) ,如 图 13. 5 所 示 。 


Y PGPkeys ~- 口 X 


文件 (E) 编 加 (E) 查看 (V) 密 铀 (kK) 服务 器 (3 用 户 组 (6) 入 号 tt) 
PEE DE 
总 角 有 类 性 大 小 ES 
转 corn 2048/1024 DH/DSS public key 纪 


4096/1024 DI/DSS key pair 
© 。 2048/1024 DDSS publie key 
© 2048 RSA Public key 
1024/1024 IN/DSS publie key 
DDSS public key 


图 13.5 密 钥 基本 信息 


需要 注意 的 是 ,这 里 的 用 户 其 实 是 以 一 个 “ 密 钥 对 ”形式 存在 的 ,也 就 是 说 其 中 包含 了 一 
个 公 钥 和 一 个 私 钥 。 现 在 要 做 的 就 是 要 从 这 个 “ 密 钥 对 ”内 导出 包含 的 公 钥 。 选 中 刚才 创建 
的 用 户 , 在 上 面 右 击 , 选 “导出 ”, 在 出 现 的 保存 对 话 框 中 ,确认 是 只 选中 了 “包含 6.0 公 钥 ”， 
然后 选择 一 个 目录 ,再 单 击 “ 保 存 " 按 钮 , 即 可 导出 刚才 创建 用 户 的 公 钥 ,扩展 名 为 . asc。 导 
出 后 ,就 可 以 将 此 公 钥 放 在 指定 的 网 站 上 ,或 者 发 给 需要 的 用 户 , 告 诉 对 方 以 后 发 邮件 或 者 
重要 文件 的 时 候 ,通过 PGP 使 用 此 公 钥 加 密 后 再 发 送 过 去 ,这 样 做 一 是 能 防止 邮件 被 人 窃 
取 后 阅读 而 泄露 个 人 隐私 或 者 商业 机 密 , 二 是 能 排查 病毒 邮件 ,一旦 看 到 没有 用 PGP 加 密 
过 的 文件 ,或 者 是 无 法 用 私 钥 解密 的 文件 或 邮件 ,就 能 更 有 针对 性 地 执行 删除 或 者 杀毒 操 
作 。 虽 然 比 以 前 的 文件 发 送 方式 和 邮件 阅读 方式 麻烦 一 点 ,但 却 能 更 安全 地 保护 隐私 或 公 
司 的 秘密 。 


13.2.4 导入 并 设置 其 他 人 的 公 铀 


导入 公 钥 : 直接 单 击 (根据 系统 设置 不 同 , 单 击 或 者 双击 ) 对 方 发 给 你 的 扩展 名 为 asc 
的 公 钥 ,将 会 出 现 选择 公 钥 的 窗口 ,在 这 里 能 看 
到 该 公 钥 的 基本 属性 ,如 有 效 性 、 创 建 时 间 、 信 任 
度 等 ,便于 了 解 是 否 应 该 导入 此 公 钥 。 选 好 后 ， 
单 击 “导入 ”按钮 , 即 可 导入 进 PGP, 如 图 13. 6 
所 示 。 

设置 公 钥 属 性 : 接 下 来 打开 PGPkeys, 就 能 
在 密 钥 列表 里 看 到 刚才 导入 的 密 钥 ,如 图 13. 7 
所 示 。 图 13.6 导入 公 钥 


了 PGPrey 


文件 (F) 编 民 (E) 查看 密 铀 (服务 器 (5) 用 户 拭 (G 帮助 
沪 导 罗 辐 人 守 沁 电 这 加 
ys 汪 浊 


5 Bs 
BH Iray enthuge2len ce， 


图 13.7 公 钥 属性 


选中 它 , 右 击 , 选 * 密 钥 属性 ", 这 里 能 查看 到 该 密 钥 的 全 部 信息 ,如 是 否 是 有 效 的 密 钥 ， 
是 否 可 信任 等 ,如 图 13. 8 所 示 。 

在 这 里 ,如 果 直 接 拉动 * 不 信任 的 ”的 滑 块 到 * 信 
任 的 ”将 会 出 现 错误 信息 。 正 确 的 做 法 应 该 是 关闭 | 
此 对 话 框 ,然后 在 该 密 钥 上 右 击 , 选 < 签名 ”, 在 出 现 的 | ww? ER 一 
“PGP 密 钥 签名 "对 话 框 中 , 单 击 “ 确 定 "按钮 ,会 出 现 | 赋 生 Rs 
要 求 为 该 公 钥 输入 密码 的 对 话 框 ,这 时 输入 设置 用 户 
时 的 那个 密码 ,然后 继续 单 击 "确定 "按钮 。 即 完成 答 
名 操作 ,查看 密码 列表 里 该 公 角 的 属性 ,应 该 在 * 有 效 
性 * 栏 显示 为 绿色 ,表示 该 密 钥 有 效 。 然 后 再 右 击 , 先 


goggles ravel befrien 
“ 密 钥 属 性 ”, 将 “不 信任 的 ”处 的 滑 块 拉 到 “信任 的 ”， D+ 
再 单 击 “ 关 闭 ” 按 钮 即 可 ,这 时 再 看 密 钥 列 表 里 的 那个 | 不 的 上 信和 的 
公 钥 ,“ 信 任 度 ”处 就 不 再 是 灰色 了 ,说 明 这 个 公 钥 


被 PGP 加 密 系统 正式 接受 ,可 以 投入 使 用 了 。 关 闭 | 
PGPkeys 窗口 时 ,可 能 会 出 现 要 求 备份 的 窗口 , 建 图 13.8” 密 钥 的 全 部 信息 

议 选择 “现在 备份 "按钮 选择 一 个 路 径 保存 ,比如 

“我 的 文档 "(此 备份 的 作用 是 防止 下 次 使 用 的 时 候 意 外 删除 了 重要 用 户 , 可 以 用 此 备份 
恢复 ) 。 


13.2.5 使 用 公 钥 加 密 文 件 


不 用 开启 PGPkeys, 直 接 在 你 需要 加 密 的 文件 上 右 击 , 会 看 到 一 个 叫 PGP 的 菜单 组 , 进 
入 该 菜单 组 , 选 “加 密 ”, 将 出 现 *PGP 外 壳 - 密 钥 选择 对 话 框 ”, 如 图 13. 9 所 示 。 

在 这 里 可 以 选择 一 个 或 者 多 个 公 钥 ,上 面 的 窗口 是 备 选 的 公 钥 ,下面 的 窗口 中 是 准备 使 
用 的 公 钥 ,双击 备 选 窗口 中 的 某 个 公 钥 , 即 对 其 进行 了 加 密 操 作 ,该 公 钥 就 会 从 备 选 窗口 转 
到 准备 使 用 的 窗口 中 ,已 经 在 准备 使 用 窗 内 的 ,如 果 不 想 使 用 它 , 也 通过 双击 的 方法 ,使 其 转 
到 备 选 窗口 。 选 择 好 后 , 单 击 “ 确 定 ” 按 钮 ,经 过 PGP 的 短暂 处 理 , 会 在 想 要 加 密 的 那个 文件 
的 同一 目录 中 生成 一 个 格式 为 :“ 加 密 的 文件 名 . pgp” 的 文件 ,这 个 文件 就 可 以 用 来 发 送 了 ， 
注意 ,刚才 使 用 哪个 公 钥 加 密 的 文件 ,只 能 发 给 该 公 钥 的 所 有 人 ,别人 无 法 解密 。 只 有 该 公 


笑 验 4 PGP 款 件 的 安装 与 使 用 


第 
但 
章 


网 络 安 会 与 管理 


到 FEEEEE n> 
EIx-Csc <x_csc@hotmall.com> 


图 13.9 密 钥 选择 对 话 框 


钥 所 有 人 才 有 解密 的 私 钥 。 如 果 要 加 密 文本 文件 ,如 txt 文件 ,并 且 想 要 将 加 密 后 的 内 容 作 
为 论坛 的 帖子 发 布 ,或 者 要 作 邮 件 内 容 发 布 ,那么 ,就 在 刚才 选择 公 钥 的 窗口 中 ,选中 左下 脚 
的 “文本 输出 ”, 这 样 创建 的 加 密 文件 将 是 这 样 的 格式 :“ 加 密 的 文件 名 . asc”, 用 文本 编辑 器 
打开 的 时 候 看 到 就 不 是 没有 规律 的 乱码 了 (不 选择 此 项 ,输出 的 加 密 文件 将 是 乱码 ) ,而 是 很 
有 序 的 格式 ,便于 复制 。 将 “测试 一 下 ”这 几 个 字 加 密 后 ,显示 结果 如 图 13. 10 所 示 。 


----- ‘BEGIN PGP ?ESSAGE----- 
Version: POP . 


qANORIDBwU4DBamIGISW52c0B/9DEfXM]SP2z8651p813szUXIXa0akvftu2z916o 


3dszqMBpgSea/WITuKqPWTfqtePDeEY/d5Y9DGXGTCWK90c/dRS6+dFBNM/uVWMba5 
Vi tEeNH3TkKNGGk TU6UPZENYEARZE+4Za09ul1JSREIJBhvOx aa40C?6+GNHscK 
EYMIWBOS0]8BYCQiqtbb ?RZ/pGsHRXpyz tITHc9w30IDq2bssTe ?vebDyEWItX) 
PpD3tdJ04Xqy2cSDZTBbB86Yzpa5]SY= 

=0sFz 


图 13.10 加 密 后 的 密 文 


PGP 还 支持 创建 自 解密 文档 ,只 需要 在 刚才 选择 公 钥 的 对 话 框 中 选中 * 自 解密 文档 ”再 
单 击 “ 确 定 ” 按 钮 ,输入 一 个 密码 , 单 击 “ 确 认 ” 按 钮 .再 确认 一 次 ,出 现 保 存 对 话 框 , 选 一 个 位 
置 保存 即 可 。 这 时 创建 的 就 是 :“ 加 密 的 文件 名 . sda. exe” 这 样 的 文件 ,这 个 功能 支持 文件 夹 
加 密 , 类 似 WINZIP 以 及 WINRAR 的 压缩 打包 功能 。 说 到 这 里 ,值得 一 提 的 是 ,PGP 给 文 
件 进行 超 强 的 加 密 之 后 ,还 能 对 其 进行 压缩 ,压缩 率 比 WINRAR 小 不 了 多 少 。 很 利于 网 络 
传输 。 


13.2.6 文件 .邮件 解密 


使 用 PGPtray 解密 : 文本 形式 的 PGP 加 密 文 件 ,可 以 使 用 PGPtray 的 两 种 方式 解密 。 
先 用 文本 编辑 器 打开 ,会 看 到 类 似 图 13. 10 里 的 字符 ,在 右 下 脚 找 到 PGPtray 图 标 ( 锁 的 形 


状 ) ,在 上 面 右 击 ,选择 “当前 窗口 ”解密 和 效 验 ”, 如 图 13. 11 所 示 。 
根据 提示 输入 密码 , 单 击 OK 按钮 ,就 会 弹出 文本 查看 


PP- 器 ,显示 出 加 密 文本 的 明文 内 容 , 成 功 完成 解密 。 还 可 通过 复 

人 制 加 密 文本 的 内 容 , 然 后 在 PGPtray 图 标 上 右 击 ,选择 “剪贴 

We 板 ”“ 解 密 和 效 验 ”, 也 可 以 完成 解密 。 使 用 PGPshell 解密 : 

了 文本 类 型 的 加 密 文 件 可 将 内 容 复制 后 保存 为 一 个 独立 的 文 

EE re ” 件 ,比如 解密 . txt, 然 后 在 文件 上 右 击 ,选择 PGP 菜单 组 内 的 
0) be “加 密 ”, 将 弹出 对 话 框 ,要 求 输入 密码 ,输入 正确 的 密码 后 , 弹 


加 密 (E) ETT TN 


mt“， 出 保存 解密 后 文件 的 对 话 框 ,选择 一 个 路 径 保存 即 可 。 其 他 
类 型 的 加 密 文件 ,重复 上 面 的 PGP 菜单 组 内 的 “加 密 ” 操 作 即 
图 13.11 解密 和 效 验 。 可 完成 解密 。 


13.3 PGPmail 的 使 用 


13.3.1 PGPmail 简介 


PGPmail 是 用 来 加 密 保护 邮件 信息 和 文件 中 的 隐私 , 唯 有 接收 者 通过 他 们 的 私 钥 才 能 
读 取 。 还 可 以 对 信息 和 文件 进行 数字 签名 ,使 之 保证 其 可 靠 性 。 签 名 可 证 实 信 息 没有 被 任 
何方 式 的 簧 改 。 

PGP 是 由 公 钥 发 展 而 来 的 ,是 一 个 基于 RSA 公 钥 加 密 体系 的 邮件 加 密 软件 , 它 可 以 用 
来 对 邮件 加 密 以 防止 非 授权 者 阅读 ,还 能 对 邮件 加 上 数字 签名 而 使 收 信人 可 以 确信 邮件 是 
谁 发 来 的 。 它 让 使 用 者 可 以 安全 地 和 从 未 见 过 的 人 通信 ,事先 并 不 需要 任何 保密 的 渠道 用 
来 传递 密 钥 。 它 采用 了 审慎 的 密 钥 管理 ,一 种 RSA 和 传统 加 密 的 杂 合算 法 ,用 于 数字 签名 
的 邮件 文摘 算法 ,加 密 前 压缩 等 ,还 有 一 个 良好 的 人 机 工程 设计 。 它 的 功能 强大 有 很 快 的 速 
度 ,并 且 它 的 源 代码 是 公开 的 。 现 在 Internet 上 使 用 PGP 来 进行 数字 签名 和 加 密 邮 件 非常 
流行 。 

使 用 PGPmail 来 保护 Email, 从 PGP 程序 组 打开 EE TX 
PGPmail, 如 图 13. 12 所 示 。 社 | 包 时 | 和 名作 | 岂 

图 13. 12 所 示 功 能 依次 如 下 : 

PGPkeys、 加 密 、 签 名 、 加 密 并 签名 、 解 密 效 验 、 擦 除 、 
自由 空间 擦 除 。 关 于 上 述 功 能 ,我 将 在 下 面 的 PGPmail for Outlook 的 组 件 中 进行 实验 。 

下 面 简 述 一 下 PGPmail 在 OE(Outlook Express) 中 的 使 用 。 或 许 是 OE 不 太 经 常 使 用 
的 缘故 ,PGPmail 对 OE 附加 的 功能 不 是 太 完美 ,就 比如 说 不 支持 在 OF 邮件 中 加 密 
HTML ,当然 可 以 作为 附件 的 形式 加 密 。 


13.3.2 分 发 PGP 公 负 并 发 送 PGP 加 密 邮 件 


在 使 用 PGP 加 密 通信 之 前 ,首先 得 把 自己 的 公 钥 分 发 给 需要 的 人 ,这 样 ,在 他 们 给 你 发 
送 加 密 邮 件 的 时 候 使 用 公 钥 进行 加 密 , 然 后 才能 用 私 钥 进行 解密 读 取 。 
如 图 13. 13 所 示 ,打开 PGPkeys, 在 创建 的 密 钥 对 上 右 击 , 选 择 “ 发 送 到 ”>“ 邮 件 接收 


图 13.12 PGPmail 界面 
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人 ” 寄 给 对 方 PGP 公 钥 。 


DW/YDSS public key 
TDHADSS public key 
DW/DSS public key 
TMDSS public Yey 
DDSS public key 
DN/DSS public jey 


TMDSS public Yey 
DNDSS public key 


” 客 角 时 性 @) | Idap:/jeurope keys,pop.com:11370 


图 13.13 选择 密 钥 并 发 送 加 密 邮件 


如 果 系 统 默认 是 采用 Outlook 来 收发 邮件 的 话 , 将 会 开启 Outlook 并 附加 了 公 钥 ,如 
图 13.14 所 示 。 


文件 (E) 疯 辑 (E) 查看 (插入 ID 格式 (0) 工具 (了 邮件 (帮助 (H) 
加 Bl|% 昨 则 员 目 
NS 发 送 阳 切 复制 粘贴 执 悄 附件 
项 收 件 人 : kz 
2 | 
FF 


附件 ; 山 :cersxC.l9mB) 


附件 是 一 个 PGP 公 旬 . 导 入 此 密 钥 到 你 的 
PGP 拷 贝 , 交换 加 密 并 签名 邮件 . 如 果 你 没有 PGP, 
请 访问 http://wwm. pgp. com cn 获取 你 的 拷贝 .| 


图 13.14 开启 Outlook 并 附加 公 和 钥 


填 人 对 方 的 邮件 地 址 ,对 方 在 收 到 此 公 钥 后 就 能 和 你 进行 PGP 加 密 通信 了 。 同 样 在 你 
收 到 对 方 PGP 公 钥 的 时 候 , 把 附件 (PGP Public key). asc 导入 到 PGPkey 里 面 。 

在 OE 中 ,如 果 安 装 了 PGPmail for OutLook Express 的 插件 ,就 可 以 看 到 PGPmail 加 
载 到 了 OE 的 工具 栏 里 , 见 图 13. 15( 带 有 钥匙 的 按钮 ) 。 

OE 创建 新 邮件 时 ,检查 工具 栏 * 加 密 信息 (PGP)” 和 “签名 信息 (PGP)” 按 钮 状态 是 否 
按 下 ,如 图 13. 16 所 示 。 

当 书 写 完 纯 文 本 的 加 密 邮件 时 , 填 人 对 方 E-mail 地 址 。 确 认 后 发 送 ,这 时 PGPmail 将 
会 对 其 使 用 主 密 钥 和 对 方 公 钥 进 行 加 密 , 加 密 后 的 邮件 也 只 能 由 通信 双方 才能 使 用 自己 的 
私 钥 进行 解密 。PGPkey 会 在 服务 器 上 查找 相应 的 公 钥 ,避免 对 方 更 新 密 钥 而 造成 无 法 收 
取 邮 件 信息 ,如 图 13. 17 所 示 。 


辐 收 件 箱 -OO 区 Fe 
文件 EF) 广 辑 E)， 查看 工具 (D 地 御 (M) ”帮助 HD 


发 件 人 ; DriverDevelop 6T 下 载 中 心 收 件 人 : xack3r@163.com 

主题 : Your DriverDevelop BT 下 载 中 心 User Account 

Your account at DriverDevelop BT 下 载 中 心 has been : 
APPROVED 


To confirm your user registration, you have to follow this 
ink: 


13 封 邮件 ，0 封 未 读 


图 13.15 Outlook 收 件 箱 


POPmail Test! 
文件 EF) ”编辑 (E) ”查看 (W) 插入 (D ”格式 (0) 工具 ID 岂 件 (M) 楼 隐 (HH) 


L 


区 本- 对 区 滑 Popleys 


root: 
HI, PGPmail Test! 
-by XaCk3r 
Http://wmm. pgp. com cn & Http://VWom. Thugx. Co 中 


图 13.16 检查 加 密 信息 和 签名 信息 


单 击 “ 取 消 " 按 钮 ,弹出 Recipient Selection 接收 者 选择 窗口 ,从 上 方 的 列表 中 选择 相应 
的 接收 者 ,用 鼠标 双击 后 添加 到 下 面 的 接收 者 列表 里 ,如 图 13. 18 所 示 。 


有 多 性 。 大 小 


409611024 


Ex-Jackal <iddzkB163.com> @ 。 409611024 E| 
固 x-Laser <pastsoft@21n.com> @ 。 4096j1024 
[eix-Mercy <wfsreflashe ,am> @ 。 4096j1024 
加 x-Noscar <webmaster@landun.org> @ 4096l1024 
| 画 xray <enthug@z1cn.com> 量 。 204all024 国 


| Some recipient keys were not found. Please find the correct recipient in the st above or double dick | 
| the Rem to search for & on a server 


性 有 效 性 大 小 
Ejroot <root@xhacker,cn> @ 2048jl024 


ee YaClGrBhotmailcom> 蚀 。 204811024 
De Bese) Lee.) Eapu | 
第 
13 
图 13.17 连接 服务 器 图 13.18 添加 接收 人 章 


实验 4 PGP 款 件 的 魏 装 与 使 用 


设置 好 之 后 , 单 击 “ 确 认 ” 按 钮 ,就 可 以 发 送 通过 PGP 加 密 的 邮件 。 

可 能 很 多 时 候 会 以 附件 形式 寄 出 邮件 ,这 个 时 候 , 打 开 PGPmail, 在 PGPmail 窗口 中 ， 
按 下 “加 密 ”, 如 图 13. 19 所 示 。 

然后 选择 需要 加 密 的 文件 ,如 图 13. 20 所 示 。 


查找 范围 0): 已 ror 国 日 才 忆 加- 
由 xDadalax amextt. | 
败 xLaser.asc 
国 xMercy .acc 
国 x-Noscar.asc 
国 xray.asc 
国 x-Yokano.asc 


广内 加 EE txt 
文件 类型 加 ;| 所 有 文件 (+ +) 加 


图 13.19 PGPmail 界面 中 按 下 加 密 图 13.20 选择 加 密 文 件 


确定 后 在 弹出 的 “PGPmail- 密 码 选择 对 话 框 ”中 ,选择 所 需要 使 用 的 公 钥 进行 加 密 。 在 
图 13. 21 中 可 以 看 到 以 下 选项 。 


[EIx-vokcano <cn_inp@msn.com> 


| 控 收 人 
[EIxadar < _Xackar@hotmad .com> 


[Ee3xray <crthug@21on.com> 


图 13.21 密码 选择 对 话 框 


文本 输出 : 解密 后 以 文本 形式 输出 。 

输入 文本 : 选择 此 项 ,解密 时 将 以 另存 为 文本 输入 方式 进行 加 密 。 

粉碎 原件 : 加 密 后 粉碎 掉 原来 的 文件 ,不 可 恢复 。 

安全 查看 器 : 只 有 用 户 的 眼睛 才能 查看 。 其 实 是 使 用 了 TEMPEST 防 攻 击 字体 进 
行 模糊 化 ,其 实 是 为 了 防止 监视 设备 监视 用 户 的 显示 器 ,应 用 到 很 多 军 方 、 政 府 
常规 加 密 : 输入 密码 后 进行 常规 加 密 , 有 点 局 限 性 。 

自 解密 文档 : 继承 于 “常规 加 密 ”, 此 方式 也 经 常 使 用 到 ,通常 加 密 目 录 下 的 所 有 
交 作 5 

这 里 以 “文本 输出 ”为 例 ,选中 后 , 拖 旧 (或 双击 ) 对 方 的 公 钥 到 接收 和 列表 里 ,确定 后 , 文 


件 将 以 此 公 钥 来 进行 加 密 ,对方 使 用 密 钥 才能 进行 解密 。 加 密 后 的 文件 * .asc” 如 图 13. 22 
所 示 。 


三 ”| 需要 加 密 的 文件 .bxt 需要 加 密 的 文件 .txt.asc 
三 | 文本 文档 PGP Armored File 
三 1KB 2KB 


图 13. 22 ”加密 前 后 的 文件 图 标 


在 邮件 中 加 入 此 附件 寄 出 就 可 以 了 。 


如 果 选 择 “ 安 全 查看 器 ”, 将 会 弹出 一 个 警告 窗口 ,以 此 来 确认 使 用 “安全 查看 器 ”, 如 
图 13. 23 所 示 。 


否则 的 话 取消 即 可 ,解密 时 输入 密码 显示 如 图 13. 24 所 示 。 


安全 音 有 器 又 


PGPmail Test! 


人 只 有 人 天 可 -ay xackar 
企 二 生 天 请 归 抽 二 有 


CE Cw | 


图 13. 23 安全 查看 器 警告 窗口 图 13.24 安全 查看 器 内 容 


13.3.3 收取 PGP 加 密 邮 件 
连接 服务 器 并 使 用 Outlook 收取 PGP 加 密 邮 件 ,打开 时 ,如 图 13. 25 所 示 。 


文件 () 崇 句 6) 查看 (工具 ID 邮件 (d) 帮助 由) 吉 


全 -XX 加 -Ww 家 


创建 邮件 答复 等 发 出 除 发 送 /接收 地 址 


8 发 件 人 主 是 EE 
国 xack3r sfdsfsa 4 
个 xaclker PGPMai test! 
回 xack3r PGPMail test! 
xack3r PGPMail test! 
国 xack3r PGPMail Test! | 
< a ] 加 
发 件 人 : XaclGr 收 件 人 : root@xhacker.n 
主题: PGPMail test! 


一 一 -BEGIN PGP NESSAGE-——— 
Version: PGP 8.1 


wu 


联系 人 (CO ~ x 

ET qANQR1DBwU4DqhlnKO11p4UQB/4ySMCIIycT6BzUAfWq/jBnapFI5B9pXIFjBY 
jthugx dy 

Dray leejboEdbh0522dkCD52rMWAdn6/2UDz/QtISRGuFkZj7HbospreW2cDm8nJS4 


wz 
Tybky7qXYWBJJrCukelrV89Lb3rcIQvFt76mp7Km9b0ZGfHXegdH92X0dJQihf 一 
nT wl 
[51 封 邮件 ，35 封 未 读 黑 正在 联机 工作 


图 13.25 Outlook 收取 PGP 加 密 邮 件 


看 到 的 是 乱码 (PGP 加 密 后 的 信息 ), 这 时 ,在 任务 栏 单 击 PGP 图 标 , 在 弹出 的 菜单 中 
选择 “当前 窗口 ”>“ 解 密 & 效 验 ”, 如 图 13. 26 所 示 。 
在 弹出 如 图 13. 27 所 示 的 窗口 中 输入 设 定 的 密 钥 密码 。 


第 
生 
成 功 后 将 会 解密 邮件 信息 ,并 弹出 文本 查看 器 窗口 ,这 个 时 候 已 经 看 到 解密 后 的 信息 | 章 


实验 4 PGP 款 件 的 安装 与 使 用 


mn 收 件 箱 - Dutlook Express 


两 3 

xtiNyAEtcGscOJfjON6?DTtvKZ63dNUsDUBlyn 

计 

x YilogeJC1RODBSNO HSe titletYE07bI 

Gaedeyokatpatha3doPETIORzBS B29/0eey7 一 
© 


中 收 件 箱 -Outlook Express 
文件 FE) 久居) ”查理 工具 人) 刻 件 (M) 。 阁 铠 (0 


瘟 贴 板 解 码 中 
papturay 和 输入 密码 


Co cn) GIN/2048) 
ChAr 人 Xcarehotmsil con> DH/2046) 


图 13.27 输入 密码 


了 ,如 图 13. 28 所 示 。 
如 果 含 有 加 密 附件 时 ,下 载 回来 在 本 地 打开 .如 图 13. 29 所 示 , 输 入 相应 的 密码 , 即 可 对 
文件 进行 解密 并 保存 。 
安全 擦 除 文件 ,有 的 时 候 一 些 重要 的 数据 ,用 户 不 希望 留 在 系统 里 面 ,简单 的 删除 不 能 
达到 所 希望 的 效果 ,为 了 防止 被 非 授 权 的 用 户 通过 恢复 来 查看 数据 ,可 以 采用 PGPmail 来 
安全 擦 除数 据 , 进 行 多 次 反复 写 信 ,那样 就 可 以 达到 无 法 恢复 的 效果 。 并 且 还 可 以 对 整个 磁 
盘 分 区 进行 覆 写 。 


root 
HI, PGPMail Test! 


一 Ck3r 
Http;//www pgp com cn & Http://Wuy Thugx, Com 


PGPmail 加 入 密码 


信息 被 加 密 到 下 列 公 胃 ; 


x END PGP DECRYFTED/VERIFIED MESSAGE sx# 


Parisr Xcarabotnail com> TDH/2048) 


图 13.28 文本 查看 器 窗口 图 13.29 对 文件 进行 解密 并 保存 


13.3.4 创建 自 解密 文档 


这 个 功能 经 常 被 用 到 ,在 很 多 情况 下 ,用 户 收 到 了 加 密 数据 ,但 计算 机 中 没有 安装 PGP 
软件 ,这 个 功能 就 起 到 了 作用 ,创建 自 解密 后 的 文件 可 以 脱离 PGP 环境 运行 。 在 PGP 环境 
下 ,在 你 所 需要 加 密 的 文件 上 右 击 ,在 弹出 的 PGP 组 中 选择 “创建 SDA(C)”, 如 图 13. 30 
所 示 。 

然后 在 弹出 的 窗口 中 输入 密码 ,如 图 13. 31 所 示 。 


名 称 ~ 大 小 类 型 
EE 0KB 文本 文档 
9 打开 (0) 
E with Visual Studio 
打印 (p) 
编辑 (E) 
叶 Convert to adobe PDF PoP 外 大 “各 入 窗 码 


图 13.30 创建 SDA 图 13.31 输入 密码 


确定 后 弹出 选择 保存 文件 的 对 话 框 ,如 图 13. 32 所 示 。 

单 击 “ 保 存 ” 按 钮 即 可 ,所 在 目录 下 就 会 生成 一 个 . exe 后 缀 的 文件 ,如 “创建 SDA. txt. 
sda. exe”, 双 击 打 开 , 如 图 13. 33 所 示 。 

在 图 13. 33 所 示 界 面 下 输入 正确 密码 就 可 以 进行 解密 了 。 以 后 可 以 采用 此 加 密 方式 来 13 
取代 WINRAR 压缩 软件 进行 打包 ,而 且 它 的 压缩 率 也 很 高 。 章 


笑 验 4 PGP 款 件 的 安装 与 使 用 


: [BB ?reaisr 了 + 和 白 千 国 - 


目 创 建 5DA.txt 


FPCP 自 解密 读 毕 文档 

ID Serr Decxmmre Axeave B. 
文档 被 PP 保护 。 请 在 下 面 锁 入 正确 的 密码 : 

| 1 

以 下 是 辆 出 目录 ,可 点 击 「 浏 览 ] 按钮 另 选 一 个 [0] : 。 回 隐 壮 键 入 [Y] 
DD: \PGPdisk\ [至 


TE SIRT 


OO EBD 


图 13.32 保存 文件 图 13.33 创建 自 解压 文件 


13.4 PGPdisk 的 使 用 


13.4.1 PGPdisk 简介 


PGPdisk 是 一 个 使 用 方便 的 组 件 ,能 够 划分 出 一 部 分 磁盘 空间 来 存储 敏感 数据 。 这 个 
专用 的 空间 用 于 创建 一 个 叫做 PGPdisk 的 卷 。 虽然 它 是 一 个 单独 的 文件 ,一 个 PGPdisk 卷 
却 非常 像 一 个 硬盘 分 区 ,来 提供 存储 文件 和 应 用 程序 。 可 以 认为 它 是 一 个 软盘 或 者 一 个 外 
置 的 硬盘 。 以 下 把 使 用 PGPdisk 卷 称 之 为 装配 。 

当 一 个 PGPdisk 卷 被 装配 上 去 的 时 候 , 可 以 用 它 作为 其 他 不 同 的 盘 。 可 以 安装 程序 在 
此 卷 下 或 者 移动 .保存 文件 到 卷 里 。 当 卷 被 反 装 配 时 ,如 果 不 知 道 密码 ,将 无 法 访问 它 , 它 能 
使 整个 卷 受到 保护 。 它 存储 着 加 密 的 格式 ,除非 一 个 文件 或 者 程序 正在 使 用 。 如 果 计 算 机 
遇 到 崩溃 的 情况 ,此 卷 的 内 容 依然 是 加 密 着 的 。 

很 多 时 候 , 如 果 硬 盘 里 存储 着 一 些 敏 感 的 数据 ,而 且 不 太 经 常 使 用 , 那 就 可 以 创建 一 个 
PGPdisk 卷 来 加 密 这 些 硬 盘 数 据 , 需 要 时 再 装配 它 。 


13.4.2 创建 PGPdisk 


首先 在 任务 栏 右 下 角 单 击 PGPdisk 的 图 标 或 者 在 开始 菜单 PGP 程序 组 里 面 选择 
PGPdisk 打开 “PGPdisk 创建 向 导 ” 界 面 ,如 图 13. 34 所 示 。 

出 现 如 图 13. 35 所 示 的 界面 ,这 里 概括 出 了 PGPdisk 的 基本 功能 。 

单 击 * 下 一 步 ?按钮 ,如 图 13. 36 所 示 。 指 定 要 存储 这 个 “* . pgd” 文 件 的 位 置 和 容量 
小 。 这 个 “. pgd” 文 件 将 在 以 后 被 装配 为 一 个 卷 ,也 可 以 理解 为 一 个 分 区 ,可 以 随时 装配 
使 用 。 

这 里 选择 “高 级 选项 ”进行 配置 ,如 图 13. 37 所 示 。 

可 以 让 它 以 一 个 分 区 形式 存在 ,或 者 在 NTFS 分 区 上 作为 一 个 目录 ,这 里 作为 一 个 
目录 ; 然后 就 是 选择 算法 ,三 种 密码 算法 可 供 选 择 : AES(256 bits) .CAST5(128bits) 、 


反 装 配 所 有 磁盘 (U) Le 


图 13.34 开始 创建 向 导 


PGPdisk 位 置 和 大 小 
你 现在 必须 为 你 的 PGPdisk 指 定 一 个 位 置 和 大 小 ,也 可 以 单 击 " 高 线 选 项 进一步 
的 设置 你 的 PePdisk 以 符合 你 的 要 求 ， 


有 1053 MB 的 空闲 宝 间 可 用 ,注意 ,格式 化 后 的 PGPdsk 容 量 格 会 比 你 在 下 
全 有 


选择 一 个 位 置 (， 
joywsaarpod 

选择 大 小 (5); 
[mw 图 we 加 


asa. |] 


EL- RW) 


图 13.36 ”指定 . pgd 文件 的 位 置 和 容量 


Twofish(256 bits)。 接 下 来 选择 文件 系统 格式 ,可 作为 FAT 或 者 NTFS 装配 使 用 。 


根据 需要 选择 “启动 时 装配 ”。 
法 ,如 图 13. 38 所 示 。 


dE dd 


选择 一 


欢迎 来 到 PGPdisk 创建 向 导 


PGpdisk 能 在 郑 时 被 装配 和 反 装 备 的 加 灾 的 卷 中 安全 的 存 
储 你 的 文件 .这些 卷 实际 上 是 文件 ,叫做 PGPdsks", 你 能 移 
动 ,复制 ,并 珊 除 同类 的 任何 其 他 文档 ， 


mt ih 2 et 
动 高 名 和 客 码 PGPddk 特 会 作用 你 款 认 的 
你 能 更 改 目录 名 和 文件 名 ,你 可 选择 使 用 下 列 控制 设置 


要 继续 , 请 点 击 "下 一 步 … 


图 13.35 PGPdisk 介绍 


选 兰 你 要 装配 的 PGPdisk 
癌 确 定 一 个 3 动 器 名 (): 


回 在 NTF5 卷 上 当 作 一 个 目录 (DJ( 仅 限 Win2000 和 WinxP); 


pe | [ea 


选择 一 个 加 从 算法 日; 
CASTS (126 bts) [3 


迄 择 一 个 文件 系统 格式 
NTF5 加 


[CET Cas] Case 


图 13.37 高 级 选项 


个 保护 方法 
人 


加 果 选 择 密码 ,你 必须 也 输入 一 个 用 户 各 
OF 
OPE) 


图 13.38 选择 保护 方式 


可 以 
确定 后 返回 到 上 一 个 界面 。 单 击 *" 下 一 步 ?按钮 ,确定 保护 方 


实验 4 PCP 款 件 的 安装 与 使 用 


网 络 安 会 与 管理 


在 这 里 可 以 使 用 全 面 已 经 建 好 的 密 钥 对 ,推荐 就 用 自己 的 公 钥 来 进行 加 密 保 护 , 这 里 使 
用 已 建立 的 公 钥 对 其 进行 加 密 保护 ,选择 “ 公 钥 ”, 单 击 “ 下 一 步 ”按钮 ,如 图 13. 39 所 示 。 


POPdisk 创建 条 守 


有 效 性 。 大 小 


Eco] 


图 13.39 选择 公 钥 
如 果 已 经 建立 过 自己 的 密 钥 , 列 表 中 将 会 出 现 所 建立 的 密 钥 信息 ,选中 双击 或 者 单 击 
“下 一 步 ” 按 钮 ,如 图 13. 40 所 示 。 
这 个 进度 条 显示 了 PGPdisk 卷 将 被 初始 化 和 格式 化 ,并 且 通 过 鼠标 移动 来 进行 随机 加 


密 , 单 击 “ 下 一 步 " 按 钮 ,PGPdisk 为 用 户 所 指定 的 卷 进行 加 密 和 格式 化 操作 ,这 里 可 能 会 需 
要 花 点 时 间 ,根据 卷 的 大 小 而 定 , 如 图 13. 41 所 示 。 


收集 随机 数据 
为 了 要 创建 一 个 加 密 密 钥 ,PGP 需 要 特定 量 ,现在 将 会 人 你 的 屎 标 和 键盘 收集 随 
请 打字 或 者 移动 限 标 , 直到 | 进度 条 卦 满 , 


[TT 


图 13.40 收集 随机 数据 


这 里 基本 上 已 经 完成 了 PGPdisk 的 创建 , 单 击 “ 下 一 步 ” 按 钮 ,如 图 13. 42 所 示 。 
完成 安装 ,成 功 后 如 图 13. 42 所 示 ,给 出 了 一 些 相关 反 装 配 的 信息 ,下 面 进行 装配 使 用 。 


13.4.3 装配 使 用 PGPdisk 


前 面 已 经 创建 了 PGPdisk 卷 ,选择 “我 的 计算 机 ”一 “D: 盘 ”, 将 会 看 到 已 经 装配 了 一 个 
新 的 文件 夹 (PGPdisk) ,以 后 机 密 数 据 都 可 以 存储 在 该 文件 夹 下 ,不 使 用 的 时 候 ,选择 反 装 
配 ,可 以 在 卷 上 右 击 选择 反 装配 ,或 者 从 PGP 程序 组 里 的 PGPdisk 中 选择 “ 反 装 配 所 有 磁 


盘 ” 进 行 反 装配 ,如 图 13. 43 所 示 。 


PGPdisk 创建 阿 导 


Popdisk 创建 厅 导 
完成 PGPdisk 创建 向 导 
文件 详 
你 已 经 安全 创建 并 装配 了 一 个 新 pcpdek Eee 
总 ;在 Wndows 为 新 的 pcpd 显 示 运 当 的 从 标 名 之 荫 ， 搜索 @，， 文件 严 
一 个 打开 的 文件 夹 窗口, 那 你 必须 按 下 5 "以 刷新 波形 声音 
要 应 用 程序 
| cm 
应 用 程序 
如 要 重新 装 也, 只 天 要 在 PGpdk 广 件 上 下 击 . 国 ， 人 
关闭 此 疝 导语 点 击 "完成 应 用 程序 
PGPdisk yolume 
图 13.42 完成 安装 图 13.43 反 装 配 所 有 磁盘 


PGPdisk 对 用 户 组 提供 了 强 有 力 的 支持 ,如 果 一 些 硬盘 分 区 或 者 移动 存储 设备 需要 提 
供给 别人 使 用 而 又 不 希望 任何 人 可 轻易 使 用 ,这 就 可 以 针对 个 别 用 户 进行 权限 分 配 。 下 面 
介绍 PGPdisk 的 强大 功能 。 

在 图 13. 43 中 出 现 的 菜单 中 选择 “编辑 PGPdisk(E)”, 或 者 在 创建 的 *. pgd” 文 件 上 
右 击 , 在 出 现 的 菜单 中 选择 PGP 一 “编辑 PGPdisk(E)”, 也 可 从 PGPdisk 中 选择 “编辑 磁盘 
(E)”, 进 入 图 13. 44 所 示 界 面 。 注意 在 添加 用 户 的 时 候 , 必 须 进行 反 装 配 。 

在 图 13. 44 中 单 击 “ 添 加 ”按钮 ,这 个 时 候 将 会 弹出 一 个 密码 提示 框 ,输入 密 钥 的 正确 密 
码 进 入 *PGPdisk 用 户 创 建 向 导 ”, 如 图 13. 45 所 示 。 

单 击 “ 下 一 步 ” 按 钮 ,采用 对 方 公 钥 或 者 密码 来 进行 保护 ,但 不 同 的 是 ,可 以 指定 用 户 的 
读 写 权限 。 这 里 选择 公 钥 来 加 密 保 护 。 继 续 单 击 “ 下 一 步 ” 按 钮 ,出 现 所 有 PGPkeys, 如 
图 13. 46 所 示 。 

选择 允许 访问 的 用 户 , 也 可 以 通过 Ctrl 键 多 选 , 单 击 * 下 一 步 ? 按 钮 ,再 单 击 “ 完 成 ”按钮 
后 , 回 到 PGPdisk 管理 界面 。 在 这 里 ,可 以 管理 用 户 组 ,对 用 户 进 行 “ 移 除 ”“ 禁 用 ”“ 固 定 
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会 POpdisk | 


国 xackar <x_xaCk3r@hotmail.com> 


图 13.44 编辑 PGPdisk 


~ POP pGpdisk 用 户 创建 向 导 
| 


欢迎 来 到 PGPdisk 用 户 创建 向 导 
Pepdsk 有 能 力 让 你 多 附加 用 户 使 用 ppd 每 个 用 户 
都 有 区 力 装配 奏 色 是 读 取 和 名 上 的 所 有 文件 ， 


要 继续 , 请 点 击 " 下 一 步 … 


图 13.45 PGPdisk 用 户 创建 向 导 


PGpdisk 用 户 创建 向 导 


连 择 一 个 公 钥 
你 的 PGpdisk 格 会 被 一 个 公 届 保护 ,请 从 下 面 的 列表 中 选择 一 个 . 


窗 钥 有 效 性 ”大 小 

Bo x-Csc <x_csc@hotmal. com> @ 409611024 
Bx-Gulupu <gulupu@sohu.com> 人 +096/1024 
SX-Jackal <jdd2ic@163.com> ®@ 。 409611024 
名 x-Laser <pastsoft@2lcn,com> @ 409611024 
Be x-Mercy <wfsrGflashe.cn> 4096/1024 
Be x-Noscar <webmaster@landun. org> 409611024 
Sn Xray <cnthug@2lan.com> 204811024 
Bo x-Yolcano <cn_np@msn.com> 409611024 


13. 46 ”选择 公 钥 


为 只 读 ” 等 操作 ,如 图 13. 47 所 示 。 


| 


内 x+taser <pastsoft@p21n.com> | 这 A)..， 
-csc <x_csc@homal com> |. 


图 13.47 管理 用 户 组 


还 可 以 设置 一 个 管理 员 来 对 其 进行 管理 ,前 提 是 在 添加 一 个 新 用 户 的 时 候 , 选 择 加 密 保 
护 方式 为 密码 保护 。 


13.4.4 PGP 选项 


1. 常规 

如 图 13. 48 所 示 ,分 别 有 几 个 选项 ,总 是 用 默认 的 密 钥 加 密 ”, 该 选项 可 根据 实际 需 
要 选择 ,如 果 经 常 给 其 他 用 户 传输 文件 ,需要 用 其 他 用 户 的 公 钥 进行 加 密 , 建 议 不 要 选择 
此 项 。 
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& 全 入 码 缕 存 时 间 (P) loo:03:0m 科 | 
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团 在 模块 中 共享 杞 码 绥 存 (WD 
文件 萎 琴 
区 徐 S 数 : 昌 图 。。 加 在 用 户 开始 焰 于 前 警 省 (Ww) 
ee 
安全 性 继 潜 增加 这 到 的 28 次 
口 时 自动 痊 研 U 


[mm “sm 7 | em] 


图 13.48 PGP 选项 


选中 “更 快 地 生成 密 钥 ”, 可 减少 创建 密 钥 所 花 的 时 间 。 
在 “第 一 登录 ”选项 组 内 的 选项 可 根据 自己 的 情况 而 设 定 , 有 的 时 候 , 频 繁 地 使 用 密 钥 来 
进行 加 密 、 解 密 、 验 证 ,签名 等 之 类 的 ,如 果 每 次 都 这 样 重复 输入 显得 很 麻烦 ,这 个 时 候 就 可 
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以 使 用 密码 缓存 功能 ,这 样 短 时 间 内 就 不 需要 重复 地 输入 密码 了 。 

“文件 粉碎 ”主要 针对 的 是 一 些 反 删除 软件 ,在 日 常 运用 中 的 删除 ,其 实 是 简单 意义 上 的 
删除 ,数据 还 是 存在 的 ,一 些 反 删 除 软 件 就 可 以 对 其 进行 恢复 ,所 以 PGP 里 提供 的 “文件 粉 
碎 ? 是 个 很 不 错 的 功能 选择 , 它 对 文件 所 在 的 硬盘 的 地 方 进行 反复 写 入 数据 ,让 一 些 反 删除 
软件 无 能 为 力 。 

2. 文件 

如 图 13. 49 所 示 ,这 里 是 密 钥 环 的 位 置 ,主要 注意 的 是 备份 好 密 钥 环 文件 ,手动 或 者 自 
动 都 可 以 。PGP 默认 在 系统 盘 的 My Document 下 建议 更 改 文 件 夹 , 以 防止 系统 崩溃 未 能 
作 到 及 时 备份 。 这 里 有 个 技巧 ,很 多 软件 都 会 往 “ 我 的 文档 ” 写 入 一 些 数据 ,如 果 把 “我 的 文 
档 ” 定 向 到 其 他 分 区 就 免 去 了 每 次 转移 的 麻烦 。 

3. 邮件 

如 图 13. 50 所 示 ,“ 默 认 答 名 新 消息 ”, 这 样 可 以 在 对 方 装 有 PGP 的 环境 下 验证 邮件 的 
有 效 性 ,确认 是 否 是 你 发 出 ,或 者 在 传输 过 程 中 被 第 三 方 算 改 。 


i | 
二 DM 
pepocumantslPcPlsecing a [Er 回 呐 A 特 新 滑 和 全 

回采 开 信 让 时 自动 解 守 ] 戏 阁 0] 
团 解 密 时 总 是 使 用 安全 查看 器 (V) 


团 签名 的 信息 自动 执行 (Ww) 
RW Do | 


注意 ， 尽 种 已 有 所 有 插件 ,有 些 计 项 可 能 仿 类 不 可 使 用 ; 


CC 本 CW CC 殉 (Tm CE | 7] 
图 13.49 密 钥 环 文件 图 13.50 邮件 的 设置 
选择 “打开 信息 时 自动 解密 / 效 验 "会 将 更 快 更 方便 地 解密 / 效 验 邮件 。 


4. 高 级 

如 图 13. 51 所 示 的 选项 很 容易 明白 ,加 密 算法 支持 ,该 注意 的 地 方 是 前 面 提 到 的 备份 ， 
在 这 里 , 选 “ 在 PGPkeys 关闭 时 自动 密 钥 对 备份 . (B) ”选项 ,可 以 另外 选择 一 个 文件 夹 来 做 
备份 ,如 图 中 的 “X:\”, 用 于 有 额外 的 硬盘 空间 。 

另外 补充 一 点 ,不 要 选中 “自动 检查 软件 更 新 ”否则 会 总 是 提示 升级 到 9.0。 毕 况 现 在 
PGP9.0 还 非 正式 版 本 ,会 出 现 不 稳定 的 情况 ,而 PGP 8. 1 可 作为 长 期 免费 使 用 。 

5. PGPdisk 

如 图 13. 52 所 示 , “允许 强 制 反 装配 PGPdisk 打开 的 文件 夹 (F)”, 某 些 情况 下 ,在 
PGPdisk 卷 中 有 打开 的 文件 ,PGPdisk 就 无 法 反 装配 它 ,选中 此 项 ,PGPdisk 将 强制 反 装 配 
PGPdisk 卷 即 使 在 PGPdisk 卷 中 有 打开 的 文件 。 
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图 13.51 高 级 选项 


目 动 后 半天 造 项 
口 8 动 反问 配 ,如 果 在 [15 | 分 名 后 急 为 静止 关 态 


回 在 计算 机 进入 唾 眠 状态 对 自动 反 装 也 (5) 
口 防止 在 Pepdsks 没 有 反 装 配 欧 进 入 唾 眠 状态 (P) 


[msm [7 | | 


图 13.52 PGPdisk 选项 


“自动 反 装配 ”, 建 议 选中 此 项 ,并 设 定时 间 , 在 未 使 用 的 时 候 , 自 动 进行 反 装 配 ,但 在 这 
里 ,如 果 PGPdisk 卷 中 有 打开 的 文件 ,就 不 能 进行 反 装 配 。 


1. 如 何 保证 密 钥 能 够 安全 地 发 布 和 交换 ? 


2. 比较 用 PGP 创建 自 解密 文档 与 WINRAR 创建 的 压缩 文件 哪个 压缩 比例 高 ? 
3. PGPdisk 的 功能 和 Windows 自 带 的 文件 加 密 系 统 的 比较 与 区 别 ? 


第 
13 
章 


笑 验 4 PGP 款 件 的 安装 与 使 用 


第 14 章 | 实验 5 防火 墙 的 安装 与 使 用 


14.1 实验 目的 及 要 求 


14.1.1 实验 目的 


通过 实验 掌握 防火 墙 的 安装 过 程 .登录 防火 墙 Web 界面 的 方式 .身份 认证 的 方式 .管理 
员 配 置 的 主要 内 容 、 常 用 控制 功能 的 实现 等 。 


14.1.2 实验 要 求 


根据 本 教材 中 介绍 的 操作 步骤 完成 实验 内 容 , 详 细 观 察 操作 结果 并 记录 设置 的 内 容 , 理 
解 设置 的 内 容 和 原理 ,做 出 分 析 并 写 出 实验 总 结 报告 。 


14.1.3 实验 设备 及 软件 
3 台 安装 Windows 2000/XP 操作 系统 的 计算 机 ,1 台 锐 捷 防 火 墙 .相关 证 书 、 私 钥 等 。 


14.2 登录 防火 墙 Web 界面 


14.2.1 管理 员 证 书 


管理 员 可 以 用 证 书 方式 进行 身份 认证 。 证书 包括 CA 证 书 、 防 火 墙 证 书 、 防 火 墙 私 钥 、 
管理 员 证 书 。 前 三 项 必须 导入 防火 墙 中 ,后 一 个 同时 要 导入 管理 主机 的 IE 中 。 

证 书 文件 有 两 种 编码 格式 : PEM 和 DER ,后 级 名 可 以 有 pem、der、cer、crt 等 多 种 ,后 
级 名 与 编码 格式 没有 必然 联系 。 

CA 证 书 \ 防 火 墙 证 书 和 防火 墙 私 钥 只 支持 PEM 编码 格式 ,cacert. crt 和 cacert. pem 
是 完全 相同 的 文件 。 管理 员 证 书 支持 PEM 和 DER 两 种 ,因此 提供 administrator. crt 和 
administrator. der 证 书 , administrator. crt 和 administrator. pem 是 完全 相同 的 文件 。 
* .p12 文件 是 将 CA 证书 和 私 钥 打包 的 文件 。 

导入 证 书 ， 

选择 下 浏览 器 的 “工具 ”一 “Internet 选项 ”内容 ”证 书 ”, 操 作 过 程 如 图 14. 1 至 
图 14. 5 所 示 。 

在 “证 书 ” 对 话 框 中 选择 “导入 ”按钮 ,如 图 14.2 所 示 。 

在 硬盘 上 找到 证 书 所 在 目录 ,双击 打开 “admin. p12” 文 件 ,如 图 14. 3 所 示 。 
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图 14.1 选择 证 书 选项 图 14.2 导入 证 书 


在 对 话 框 中 输入 默认 密码 (123456) 后 , 单 击 * 下 一 步 按 钮 ,如 图 14.4 所 示 。 


开 回国 
下 失范 力 中) hn Cort 回 » 四- 
a [© rnin c 日 证 已 四 省 吗 
加 wn 为 了 保证 安全 ,已 用 窜 码 保护 及 钥 。 
我 最 的 六 档 
为 开 角 键入 密码 。 
rT Each 
我 的 文档 晤 用 学 秋 外 保护 ， 加 此 启用 这 个 人 项 ， 每 次 应 用 程序 
口 倒 时 关闭 从 


口 标志 此 密 钼 为 可 导出 的 。 这 格 北 许 您 在 稍 后 备份 或 传输 密 钥 电 ) . 


图 14.3 选择 证 书 图 14.4 密码 为 123456 


导入 成 功 后 会 出 现 如 图 14. 5 所 示 。 
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14.2.2 管理 员 配 置 管理 


在 管理 主机 上 ,通过 电子 钥匙 认证 或 管理 员 证 书 认证 成 功 后 ,才能 访问 防火 墙 ,完成 对 
防火 墙 的 配置 管理 。 

防火 墙 管理 IP 地 址 : 管理 员 要 在 防火 墙 上 定义 防火 墙 可 以 被 管理 的 IP 地 址 ,并 指定 
管理 主机 可 以 进行 的 操作 (如 允许 PING、 人 允许 TRACEROUTE 等 )。 未 指定 为 管理 IP 的 
主机 不 能 管理 。 

管理 主机 地 址 限制 : 只 有 管理 主机 才能 对 防火 墙 进行 管理 。 防 火 墙 系统 指定 管理 主机 
的 IP, 最 多 可 以 指定 256 个 管理 主机 ,不 包括 集中 管理 主机 。 

管理 员 身 份 认证 方式 : 电子 钥匙 认证 和 证 书 认 证 。 

管理 员 授 权 : 管理 员 有 不 同 的 身份 ,分 为 超级 管理 员 ,配置 管理 员 .审计 管理 员 、 策 略 管 
理 员 。 其 中 ,超级 管理 员 可 以 增加 、 删 除 管理 员 账 号 ; 配置 管理 员 可 以 设置 系统 配置 .管理 
配置 网络 配 置 ; 策略 管理 员 可 以 配置 对 象 定义 、 安 全 策略 ; 审计 管理 员 可 以 查看 防火 墙 日 
志 信 息 。 

管理 员 访 问 信 道 加 密 : 为 防止 管理 员 与 防火 墙 之 间 的 管理 信息 被 非法 者 截取 而 利用 ， 
对 防火 墙 的 远程 管理 的 通信 应 该 实现 加 密 。 同 时 ,防火 墙 可 以 防止 对 远程 管理 的 重 放 攻 击 。 
CLI 界面 命令 行 方式 下 支持 SSH 加 密 , Web 界面 下 支持 SSL 加 密 ( 使 用 https 协议 访问 防 
火 墙 ) 。 通 过 防火 墙 本 地 串口 使 用 超级 终端 登录 时 通信 不 加 密 。 


14.2.3 管理 员 首 次 登录 


正确 管理 防火 墙 前 ,需要 配置 防火 墙 的 管理 主机 、 管 理 员 账号 和 权限 .网 口上 可 管理 
IP、 防 火 墙 管理 方式 。 

默认 管理 员 账 号 为 admin 密码 为 firewall、 默 认 管 理 口 : 防火 墙 WAN 口 。 

可 管理 IP: WAN 口上 的 默认 IP 地 址 为 192. 168. 10. 100/255. 255. 255.0。 

管理 主机 : 默认 为 192. 168. 10. 200/255. 255. 255. 0。 

默认 管理 方式 共有 三 类 : 

(1) 管理 主机 用 交叉 线 与 WAN 口 连接 。 

(2) 用 电子 钥匙 进行 身份 认证 。 

(3) 访问 https://192. 168. 10. 100:6667( 注 : 若 用 证 书 进行 认证 , 则 访问 https:// 
192. 168. 10. 100:6666) 。 

登录 账号 为 默认 管理 员 账 号 与 密码 ,访问 Web 界面 。 此 方式 下 的 配置 通信 是 加 密 的 。 


14.2.4 登录 Web 界面 


将 默认 管理 主机 的 网 口 用 交叉 连接 的 以 太 网 线 ( 两 端 线 序 不 同 ) 与 防火 墙 的 WAN 口 
连接 ,管理 主机 的 下 版 本 必须 是 5. 5 及 以 上 版 本 ,如 果 管 理 主机 是 采用 电子 钥匙 认证 ， 
需要 将 与 防火 墙 匹 配 的 电子 钥匙 插入 管理 主机 上 (USB 口 ) ,正确 输入 电子 钥匙 PIN 码 
(初始 PIN 码 为 : 12345678) 后 ,打开 防火 墙 管理 员 身 份 认证 程序 。 如 果 出 现 绿色 图 标 表 
示 认 证 通过 ,出 现 红色 图 标 表 示 认 证 失败 或 未 登录 。 认证 成 功 后 在 浏览 器 中 输入 


https://192.168. 10. 100:6667 ,如果 管理 主机 是 采用 证 书 认 证 ,选择 要 使 用 的 数字 证 书 , 如 
图 14. 6 所 示 ,然后 输入 https://192. 168. 10. 100:6666。 
登录 成 功 后 弹出 下 面 的 登录 界面 ,如 图 14. 7 所 示 。 


图 14.6 证 书 认 证 图 14.7 登录 界面 


正确 输入 默认 管理 员 账 号 与 密码 ,进入 下 面 的 防火 墙 配置 管理 界面 ,如 图 14. 8 所 示 。 


内 容 

的 50-10.252 控 #D Byte) 项 Hto Oyto) 

本 620 4- S03.) 和 TD 全 108rt) 
95 五 w854E09 接 家 | 24 rt ME2 和 % (Byte) 
EY 名 按 和 和 0 Byte) 入 to Qyts) 


14.8 ”防火墙 配置 管理 界面 


在 第 一 次 登录 成 功 后 ,管理 员 可 以 按 需求 变更 管理 员 账 号 ,管理 主机 、 防 火 墙 可 管理 
IP ,管理 方式 或 导入 管理 员 证 书 。 下 次 登录 时 , 按 变 更 内 容 进 行 认证 与 登录 。 

当 管 理 员 完 成 管理 任务 或 者 离开 管理 界面 时 ,应 主动 退出 Web 管理 界面 。 正 确 的 操作 
方法 是 单 击 快捷 菜单 最 右 端 的 “退出 ”快捷 图 标 , 这 将 通知 防火 墙 本 管理 员 退 出 操作 ,然后 关 
闭 本 窗口 。 如 果 单 击 IE 标题 栏 上 关闭 按钮 的 话 , 则 只 是 关闭 了 窗口 ,并 没有 通知 防火 墙 该 


管理 员 已 退出 管理 。 防 火 墙 Web 界面 有 超时 机 制 , 默 认 超 时 时 间 为 600 秒 , 如 果 防 火 墙 持 
续 ( 二 600 秒 ) 未 接收 到 Web 界面 操作 请 求 , 则 超时 退出 。 章 


实验 5 态 火 墙 的 安装 与 使 用 


网 络 安 会 与 管理 


当 管 理 员 再 次 登录 时 ,要 使 管理 主机 与 防火 墙 的 某 个 网 口 连接 ,并 为 其 配置 可 管理 IP， 
同时 管理 员 需 要 电子 钥匙 进行 身份 认证 或 者 管理 员 证 书 方式 认证 。 

管理 员 将 与 防火 墙 匹配 的 电子 钥匙 插入 管理 主机 上 ,正确 输入 电子 钥匙 PIN 码 (初始 
PIN 码 为 : 12345678) 后 ,打开 防火 墙 管理 员 身 份 认证 程序 。 绿 图 标 表 示 认 证 通过 , 红 图 标 
表示 认证 失败 或 未 登录 。 认 证 成 功 后 可 以 访问 https:// 防 火 墙 可 管理 IP:6667, 在 登录 界 
面 中 输入 管理 员 账 号 与 密码 ,进行 防火 墙 配置 管理 界面 。 

使 用 管理 员 证 书 方 式 时 ,需要 在 防火 墙 上 导入 管理 员 证 书 ,在 管理 主机 上 导入 管理 员 证 
书 ,访问 https:// 防 火 墙 可 管理 IP:6666 ,认证 成 功 后 ,进入 防火 墙 配 置 管理 界面 。 


14.3 防火墙 实现 带宽 控制 


14.3.1 背景 描述 


某 学 院 老 师 发 现 , 他 们 学 院 新 开通 的 100Mb/s 线路 仍然 经 常 性 地 无 法 打开 网 页 ,经 查 
实学 院 的 学 生 利用 BT、FlashGet 等 软件 多 线程 下 载 ,抢占 可 用 带宽 ,造成 其 他 人 的 访问 不 
正常 。 老 师 要 求 必须 在 防火 墙 上 解决 该 问题 ,让 单个 计算 机 可 用 带宽 减少 。 


14.3.2 实验 拓扑 
实验 的 拓扑 结构 如 图 14. 9 所 示 。 


Web Server 
1.1.1.1/24 


WAN 
1.1.1.100/24 


(| 
LAN 国名 
192.168.1.100/24 司 
交换 机 
县 县 
PC1 PC2 
192.168.1.1/24 192.168.1.2/24 


图 14.9 带宽 控制 实验 拓扑 


14.3.3 实验 原理 


利用 防火 墙 中 带宽 控制 功能 ,将 客户 机 对 服务 器 的 访问 带宽 控制 在 一 定 范围 内 ,以 达到 
既 可 以 保证 网 站 被 正常 访问 ,也 可 以 作 限 制 ,限制 每 个 IP 可 以 使 用 一 定数 值 的 带宽 。 


14.3.4 实验 步骤 
(1) 按照 拓扑 正确 配置 防火 墙 接口 和 PC 的 IP 地 址 ,具体 如 表 14. 1 所 示 。 


表 14.1 JP 规划 表 


设备 名 称 IP 地 址 子 网 掩 码 默认 网 关 
PC1 192. 168.1.1 255. 255. 255. 0 192. 168. 1. 100 
PC2 192. 168.1.2 255. 255. 255. 0 192. 168. 1. 100 
Web Server 到 志 于 惠 255. 255. 255.0 1.1.1.100 
防火 墙 LAN 192. 168. 1. 100 255. 255. 255. 0 192. 168. 1. 100 
防火 墙 WAN 1.1.1.100 255. 255. 255.0 1.1.1.100 


(2) 进入 防火 墙 Web 页 面 ,选择 "对 象 定义 ”带宽 列表 ”, 创 建 带宽 规则 ,如 图 14. 10 
所 示 。 


+ 名 称 : linit | (1-15 位 字母 、 数 字 ， 减 号 、 下 烛 | 的 姐 全 ) 


忧 先 级 : 阿 习 【其 先 级 从 0 至 3 依次 弟 减 ) 
+ 保证 带宽 ; [160 | iwps ( 50-102400 之 间 的 整数 ) 
* 最 大 带宽 : | 320 | Kbps ( 50-102400 之 间 的 整数 ) 


图 14.10 创建 带宽 规则 


(3) 进入 防火 墙 Web 页 面 ,选择 “安全 策略 ”>“ 安 全 规则 ”, 为 PC1 创建 新 的 包 过 滤 规 
则 ,在 “流量 控制 ”中 选择 之 前 定义 的 带宽 规则 limit, 如 图 14. 11 所 示 。 


ae | 

满足 条 件 

规则 名 : [bwlinit | ( 1-15 位 字母 、 数字 、 减 号 、 下 划 贱 的 组 合 ) 
手工 输入 ~ 手工 输入 ~ 

源 地 址 : TP 地 址 | 192. 168.1.1 目的 地 址 : TP 地 址 [L111 ] 
接 码 [255.255.255.255 掩 码 | 255.255.255.255| 

服务 : any ~ 

执行 动作 

动作 : @ 允许 C 禁 上 三 过 让 : 

检查 流入 网 口 图 检查 流出 网 口 : 加 

时 间 调度 : 癌 。 流量 控 制 : 

用 户 认证 : 口 日 志 记录 : 

i SC 

连接 限制 : 三 保护 主机 厂 保护 服务 三 限制 主机 厂 限制 服务 


图 14.11 创建 包 过 滤 规 则 


(4) 进入 防火 墙 Web 页 面 ,选择 “安全 策略 ”> “安全 规则 ”, 为 PC2 创建 新 的 包 过 滤 规 
则 ,不 限制 带宽 ,如 图 14. 12 所 示 。 
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满足 条 件 
规则 名 : pa (14-15 入 字母 、 数 字 、 减 号、 下 的 粗 合 ) 

邯 工 策 入 口 ITS | 
源 地 址 : 区 地址 | 192 168 1 2 目的 地 址 ITP 地 址 [LTLT1 

捷 码 [255 .255 255 255 拖 码 [255 255 255 255| 
服务 - ay 口 
执行 动作 
动作 : 人 区 许 亚 禁止 WRL 过 小 : | 
检查 流 AD: [| 癌 。 六 要 流 由 日 
时间 调度 [ 吕方 是 近 抽 : 日 
用 户 认证 : 口 日 志 记 录 : [sl 
隧道 各- 四国 
连 拉 限制 三 保护 主机 三 ”保护 服务 三 ”限制 主机 三 限制 服 务 


图 14.12 包 过 滤 规 则 
14.3.5 验证 测试 


(1) 在 1.1.1.1 服务 器 上 架设 Web 服务 器 ,在 192.168.1.1 上 用 IE 下 载 大 文件 ,计算 
可 下 载 带宽 ,最 大 只 能 达到 320kb/s。 
(2) 在 192.168.1.2 上 用 IE 下 载 大 文件 ,计算 可 下 载 带宽 ,最 大 带宽 大 于 320kb/s。 


14.4 防火 墙 实现 地 址 绑 定 


14.4.1 背景 描述 


某 学 院 老师 发 现 ,他 们 学 院 的 某 些 学 生 经 常 盗用 其 他 同学 的 IP 地 址 ,造成 他 人 不 能 正 
常 访问 网 络 资源 。 老 师 要 求 必须 在 防火 墙 上 解决 该 问题 ,避免 资 用 地 址 的 情况 出 现 。 


14.4.2 实验 拓扑 
实验 的 拓扑 结构 如 图 14. 13 所 示 。 


Web Server 
1.1.1.1/24 


WAN 
1.1.1.100/24 


A 防火 墙 
192.168.1.100/24 
县 也- 是 
rel PC2 
192.168.1.1/24 192.168.1.2/24 


MAC:000100010001 


图 14.13 ”地址 绑 定 实验 拓扑 


14.4.3 实验 原理 


如 果 防 火 墙 某 网 口 配置 了 IP/MAC 地 址 绑 定 功能 ,并 设置 了 默认 策略 (人 允许 或 禁止 ) 
后 , 当 该 网 口 接收 数据 包 时 ,防火 墙 将 根据 数据 包 中 的 源 IP 地 址 与 源 MAC 地 址 ,检查 管理 
员 设 置 好 的 IP/MAC 地 址 绑 定 表 。 如 果 地 址 绑 定 表 中 查找 成 功 ,匹配 则 允许 数据 包 通 过 ， 
不 匹配 则 禁止 数据 包 通 过 。 如 果 查 找 失败 , 则 按 默认 策略 (人 允许 或 禁止 ) 执 行 。 


14.4.4 实验 步骤 


(1) 按照 拓扑 正确 配置 防火 墙 接口 和 PC 的 IP 地 址 ,具体 如 表 14. 1 所 示 。 

(2) 进入 防火 墙 配 置 页 面 , 选 择 * 安 全 策略 ”一 “地 址 绑 定 ”, 首 先 启用 LAN 接口 的 
IP/MAC 绑 定 功能 ,并 设置 默认 策略 为 允许 , 即 如 果 为 查找 到 IP/MAC 绑 定 条 目 , 则 允许 数 
据 包 通过 。 配 置 完 成 后 单 击 “ 确 定 ” 按 钮 ,如 图 14. 14 所 示 。 


安全 第 踢 ) 地 址 乡 定 

网 D 局 用 ITPJaAC 名 定 鞭 认 第 咯 

anz 可 多 许 他 禁止 个 

wan 用 允许 会 禁止 个 

vanl 品 多 许 合 禁止 牛 
图 14.14 地 址 绑 定 


(3) 单 击 页 面 中 的 “添加 ”按钮 ,如 图 14. 15 所 示 。 为 PC1 手工 添加 IP/MAC 地 址 绑 定 
条 目 ( 假 设 PC1 的 MAC 地 址 为 00-01-00-01-00-01) ,如 图 14. 16 所 示 。 


已 才 定 IF/IWC 对 
i -二 二 
无 记录 
站 |_ 添 加 || 全 各 目 圳 除 | 


| 192. 168.1.1 | 


本 MAC 地址: 00:01:00:01:00:01 〔 用 英文 :或 英文 -分 隔 ) 


lan 司 


14.16 设置 地 址 绑 定 
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14 
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14.4.5 验证 测试 


在 PC1 上 执行 ping 1.1.1.1, 可 ping 通 。 更 改 PC1 的 地 址 为 192. 168. 1. 10 ,再 次 执行 
ping 1.1.1.1, 则 无 法 ping 通 。 


14.5 防火墙 实现 访问 控制 


14.5.1 背景 描述 


某 学 院 老师 发 现 ,学 院内 的 学 生 经 常 利 用 上 课时 间 浏 览 新 闻 网 站 .QQ 聊天 、 在 线 看 电 
影 等 。 老 师 要 求 网 管 针对 该 问题 提供 网 络 解决 方案 ,严格 限制 学 生 上 课时 间 随 意 上 网 的 
情况 。 


14.5.2 实验 拓扑 
实验 的 拓扑 结构 如 图 14. 17 所 示 。 


WAN 
1.1.1.100/24 


星野 
ES EE = 
学 生 1 学 生 2 
192. ie .1/24 图 192. i 2124 
= 
教师 
192.168.1.11/24 


图 14.17 访问 控制 实验 拓扑 


14.5.3 实验 原理 


访问 控制 是 防火 墙 的 基本 功能 ,可 以 基于 IP 地 址 .服务 端口 时间、 域名 等 因素 进行 严 
格 的 访问 控制 。 


14.5.4 实验 步骤 


(1) 正确 配置 防火 墙 和 PC 的 IP 地 址 ,具体 如 表 14.2 所 示 。 
(2) 定义 安全 规则 ,配置 教师 的 IP 不 限时 间 人 允许 访问 任意 服务 。 进 入 防火 墙 配置 页 
面 ,选择 “安全 策略 ”一 “安全 规则 ”, 配 置 包 过 滤 规 则 ,如 图 14. 18 所 示 。 


表 14.2 IP 规划 表 


设备 名 称 IP 地 址 子 网 拖 码 默认 网 关 
学 生 192. 168. 1. 1 255,255. 255.0 192. 168. 1. 100 
学 生 2 192. 168. 1. 2 255. 255. 255. 0 192. 168. 1. 100 
教师 192. 168. 1. 11 255. 255. 255.0 192. 168. 1. 100 
防火 墙 LAN 192. 168. 1. 100 255. 255. 255.0 192. 168. 1. 100 
防火 墙 WAN L110 255, 255. 255.0 ll1.100 

请 足 条 件 

规则 名: [ze 【1-15 位 字母 、 数 字 、 减 号 、 下 划 的 组 合 ) 
手工 条 大 - ay 四 

源 地 址 : TP 地 址 [122. 163.1.11 目的 地 址 ; Ti 址 [| | 
接 码 [255.255.255.255] 掩 码 [ 可 

服务 : any 四 

执行 动作 

动作 : 全 允许 个 禁止 WRL 过 小 : 加 

检查 流入 网 口 习 检查 流出 网 口 : 启 

时 间 调度 : [-] 流量 控制 -~ 

用 户 认证 ; 日 日 志 记 录 : 口 

隆 道 名 ; 日 序号 : [z 

连接 限制 : 三 保护 主机 三 保护 服务 三 限制 主机 三 限制 服务 


图 14.18 包 过 滤 规 则 


(3) 进入 防火 墙 配置 页 面 ,选择 对象 定义 ”一 “时间 ”一 “时 间 列 表 ” ,创建 包 括 上 课时 间 
的 时 间 对 象 ,如 图 14. 19 所 示 。 


# 名 称 ; | workine_tine |( 1-15 位 字母 、 数 宇 、 减 号 、 下 并 的 姐 合 ) 
个 一 次 性 调度 有 效 时 间 格式 〔 YYYY/WN/DD hh:mn: ss) 


jada: | | 终止 时 间 : ] 
G ”周刊 环 调度 
起 始 时 间 终止 时 间 
调度 日 其 有 效 时 间 格式 有 效 时 间 格式 
【hh:mm:ss ) 【hh:mm:ss ) 
星期 日 
星期 一 9:00:00 18:00:00 
星期 二 9:00:00 18:00:00 
星期 三 9:00:00 18:00:00 
星期 四 9:00:00 18:00:00 
星期 五 9:00:00 18:00:00 
六 


添 mF- 条 有 确定 上 取消 | 


图 14.19 配置 时 间 列 表 14 
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(4) 定义 安全 规则 ,限制 学 生 在 上 课时 间 不 能 访问 Internet。 
进入 防火 墙 配 置 页 面 ,选择 “安全 策略 ”>“ 安 全 规则 ”, 配 置 包 过 滤 规 则 ,在 “时 间 调 度 ” 
中 选择 之 前 创建 的 时 间 对 象 ,过 滤 动 作 选 择 “ 禁 止 ”, 如 图 14. 20 所 示 。 


ET 


规则 名 : 了 和 【 1-15 位 字母 、 数 字 、 减 号 ， 下 划 线 的 组 合 ) 


Er 日 区 -一 旧 


福地 址 ; TIP 地 址 |192. 168.1.2 目的 地 址 : TIF 地 址 


掩 码 | 255. 255. 255.255| 掩 玛 


WRL 过 溪 : 目 
检查 流入 网 口 ; 同 检查 淹 出 网 D: 日 
时 间 调度 : working_tinme 器 流量 控制 : 器 
用 户 认证 ; 0 日 志 记 录 口 

序号 : 4 


图 14.20 选择 “禁止 


(5) 定义 最 后 匹配 的 安全 规则 ,允许 所 有 访问 通过 , 即 满足 课余 时 间 无 限制 地 访问 。 进 
入 防火 墙 配 置 页 面 ,选择 “安全 策略 ”>“ 安 全 规则 ”, 配 置 包 过 滤 规 则 ,如 图 14. 21 所 示 。 


规则 各; 7 征 ( 1-15 位 字母 、 数 字 、 减 号 、 下 划 线 的 组 合 ) 


手工 稀 入 日 [vy 有 旧 
源 地 址 IP 地 址 |192. 168.1.0 目的 地 址 : I 地址 
掩 码 | 255.255.255.0 掩 玛 


动作 : 他 区 许 个 禁止 WEL 过 源 : 


检查 流入 网 口 : [| 检查 流出 网 口 : - 
时 间 调 度 ; 则 流量 控制 四 
用 户 认证 : 口 日 志 记录 : Cc 

隆 道 名 : CCL | 序号 : 5 

连接 限制 : 三 保护 主机 喇 保护 服务 三 限制 主机 三 限制 服务 


14.21 允许 所 有 访问 


14.5.5 验证 测试 


(1) 老师 任何 时 间 可 以 做 任何 访问 。 
(2) 学 生 上 课时 间 不 能 访问 其 他 网 站 。 
(3) 学 生 在 下 课时 间 可 以 访问 任意 网 站 的 任意 服务 。 


14.6 防火墙 实现 服务 保护 


14.6.1 背景 描述 


某 学 院 使 用 防火 墙 作为 网 络 出 口 设备 ,并 且 在 防火 墙 的 DMZ 区 域 中 部 署 了 一 台 提 供 
对 外 服务 的 Web 服务 器 。 但 网 络 管理 员 经 常 发 现 有 大 量 的 到 达 服 务 器 的 连接 ,致使 消耗 了 
服务 器 大 量 的 系统 资源 ,使 其 不 能 提供 良好 的 服务 。 为 了 使 Web 服务 器 正常 提供 服务 , 需 
要 保护 服务 器 的 系统 资源 ,限制 到 达 服 务 器 的 连接 数 。 


14.6.2 实验 拓扑 
实验 的 拓扑 结构 如 图 14. 22 所 示 。 


WAN 


1.1.1.100/24 2 
了 下、 pvz 乓 
WN 192.168.2.1/24 
人 加 ”所 火 培 
火 境 
LAN 并 9 
192.168.1.100/24 本 
交换 机 Web Server 
3 192.168.2.2/24 
国 mm 
IE 
PC1 PC2 
192.168.1.1/24 192.168.1.2/24 


图 14.22 服务 保护 实验 拓扑 


14.6.3 实验 原理 

保护 服务 是 防火 墙 的 一 种 安全 功能 ,可 以 限制 从 公 网 到 达 内 部 网 络 中 主机 或 服务 器 的 
连接 数 。 
14.6.4 实验 步骤 


(1) 按照 拓扑 图 正确 配置 防火 墙 及 Web 服务 器 的 IP 地 址 ,具体 如 表 14. 3 所 示 。 
表 14.3 IP 规划 表 


设备 名 称 IP 地 址 子 网 掩 码 默认 网 关 
PEL 192. 168.1.1 255. 255. 255.0 192. 168. 1. 100 
PC2 192. 168.1.2 255. 255. 255.0 192. 168. 1. 100 
Web Server 192. 168. 2.2 255. 255. 255. 0 192. 168. 2.1 
防火 墙 LAN 192. 168. 1. 100 255. 255.255.0 192. 168.1. 100 
防火 墙 WAN 1.1.1.100 255. 255. 255.0 1.1.1. 100 
防火 墙 DMZ 192. 168. 2. 1 255. 255. 255. 0 192.168.2.1 
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(2) 配置 连接 限制 。 进 入 防火 墙 配置 页 面 , 选 择 * 对 象 定义 ”一 * 连 接 限制 ”一 “保护 服 
务 ”。 单 击 “ 添 加 ”按钮 ,添加 规则 。 如 图 14. 23 所 示 ,配置 为 : 到 达 Web 服务 器 192. 168. 2. 2 
的 并 发 连接 数量 达到 50 个 时 ,防火 墙 不 再 允许 新 的 连接 请 求 通过 。 


+ 名 称 : [init | (-15 位 宇 怀 、 数 宇 、 减 号 、 下 划 占 的 组 合 ) 
*# 源 地 址 : [0.0.0.0 /7 [0.0.0.0 - 

* 受 保 护 主机 : [is2.168.2.2 | 

+ 受 保护 端口 : a0 | (1-65535 ) 


全 独 享 (推荐 ) 个 共 享 
每 | 0 | (1-3600) 秒 景 多 允许 | 0 | (1-85535) 个 CE 连接 


限制 新 建 还 朱 厂 】 ”直击 光 刘 率 后 

后 禁止 当 前 周期 内 的 后 续 连 接 侣 认 ) 

6S 菜 出 (1-85535 且 大 于 连接 控制 周期 ) 秒 内 建立 新 连接 
i 个 独 享 他 共享 趴 荐 ) 

同一 时 刻 最 多 存在 | 50 | (1-85535) 个 有 效 TCF 连接 


备注 ; [ | 


图 14.23 限制 并 发 连接 


(3) 定义 端口 映射 规则 ,使 防火 墙 将 DMZ 中 的 Web 服务 器 发 布 到 公 网 中 。 进 入 防火 
墙 配置 页 面 ,选择 “安全 策略 ”>“ 安 全 规则 ”一 “端口 映射 规则 ”。 在 此 规则 中 选中 “保护 服 
务 " 复 选 框 ,以 启用 此 规则 的 服务 保护 功能 ,如 图 14. 24 所 示 。 


端口 映射 规则 维护 


请 足 条 上 
规则 名 [aatz | ( 1-15 位 字母、 数字 、 涨 号 、 下 划 线 的 组 合 ) 
源 地 址 TI 地 址 | it TLIO 


14.24 定义 端口 映射 


14.6.5 验证 测试 
观察 从 公 网 到 达 Web 服务 器 的 连接 ,连接 数 将 不 能 超过 50 个 。 


14.7 防火墙 实 现 抗 攻击 


14.7.1 背景 描述 


某 学 院 老师 发 现 经常 有 外 部 的 IP 地 址 发 送 大 量 的 数据 包 对 内 部 网 络 进行 扫描 攻击 ， 
要 求 在 防火 墙 上 制止 这 些 攻击 。 


14.7.2 实验 拓扑 
实验 的 拓扑 结构 如 图 14. 25 所 示 。 


|_  "c 
起 111.224 
WAN 


1.1.1.100/24 


NM 
\] 
\ 
LAN 几时 防火 墙 
192.168.1.100/24 | 


交换 机 


上 a 


PCI1 
192.168.1.1/24 


图 14.25 抗 攻 击 实验 拓扑 


14.7.3 实验 原理 

防火 墙 的 抗 攻击 功能 可 以 有 效 发 现 并 制止 网 络 攻击 ,从 而 达到 保护 内 部 资源 的 目的 。 
14.7.4 实验 步 又 

(1) 正确 配置 防火 墙 和 PC 的 IP 地 址 ,具体 如 表 14.4 所 示 。 


表 14.4 JP 规划 表 


设备 名 称 IP 地 址 子 网 掩 码 默认 网 关 
PCIi 192. 168.1.1 255..255: 255: 闪 192. 168. 1. 100 
PC2 机 255. 255. 255. 0 1.1.1. 100 
防火 墙 LAN 192. 168. 1. 100 255. 255. 255.0 192. 168. 1. 100 
防火 墙 WAN 1.1.1.100 255..266..255; 0 ,Li00 


(2) 定义 安全 规则 ,允许 所 有 访问 通过 。 进 入 防火 墙 配置 页 面 ,选择 “安全 策略 ”一 “ 安 
全 规则 ”, 配 置 包 过 滤 规 则 ,如 图 14. 26 所 示 。 
(3) 配置 防火 墙 WAN 接口 的 抗 攻 击 功 能 。 进 入 防火 墙 配 置 页 面 ,选择 “安全 策略 ”一 
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包 过 小 规则 维护 


满足 条 件 
规则 名 : [pet | (4-15 位 字母、 数字 、 减 号 下划线 的 组 合 ) 

any -| any 加 
源 地 址 : 让 [| 目的 地 址 : Tb 址 | 

掩 码 掩 码 | 
服务 : any -| 
执行 动作 
动作 : G@ 区 许 个 禁止 WRL 过 小 - 
检查 流入 网 口 : 凡 检查 流出 网 口 : 区 
时 间 调度 : -| 流量 控制 - 四 
用 户 认证 : jj 日 志 记录 : 口 
障 道 名 : 日 本: FE 
连接 限制: 厂 保护 主机 厂 保护 服务 厂 限制 主机 厂 限制 服务 


图 14.26 配置 包 过 滤 规 则 


安全 第 略 ) 抗 攻击 


接口 名 称 启用 STN Flood ICMP Flood Ping of DJeath UDP Flood PING SYEEP TCF 端口 扫 基 ”UDP 身 口 扫 朱 Yingoke 
az 
lan 


XXX 其 
X X X 其 
X X X X 
X 其 X X 
其 其 其 其 
其 其 其 其 
其 其 X 其 
X X X 其 
其 其 其 其 


wanl 


图 14.27 抗 攻 击 设置 


(4) 启用 “ 抗 攻 击 功 能 ”, 并 开启 端口 扫描 攻击 ,如 图 14. 28 所 示 。 


搞 攻 击 设 
抗 SI Fieod 玫 击 

ysis [20 | 个/ ( 1-essss ) A 
抗 OW hood 击 

p ICNF 包 速率 商人 :1000 个 包 / 徐 (1-65535 ) 回 六 3 家 而 
抗 Ping of Desth 攻击 

cm 长 风 从 :| 500 | 李 节 《 15535 ) 0 
抗 mp mood 攻击 

局 pet 二 守 风 :| 1000 ] 个 包 / 妙 (itsss ) 国 这 仙人 2 和 汪 
抗 FDIG see 攻击 

R 二 |10 | 训 tlo 人 不 同 rtpromm 包 【1-essss ) 厂 DERE 
搞 Tc 铺 D3 

已 二 10 | 总 朱 同 一 的 1o 人 不 同 请 的 TCF 包 (1-65535 ) 和 
搞 WP 靖 D3 失 

已。 各 [10 | 党 同 1? 的 10 个 不 网 党 的 WP 包 (1-65535 ) 六 

厂 、 拆 权 3 由 攻击 厂 的 臣 时 间 名 击 

厂 一 护 严 格 5 由 攻击 万 搞 Lad 攻击 

厂 抗 ialake 攻击 厂 抗 teedrep 攻击 

厂 抗 murt 攻击 


| 确定 上册 全 过 用 承 询 | 
14. 28 开启 抗 攻 击 


14.7.5 验证 测试 


在 启动 抗 攻 击 前 ,在 PC2 上 使 用 端口 扫描 工具 对 PC1 进行 扫描 ,发 现 PC1 的 接口 接收 
到 大 量 的 数据 包 , 即 PC2 的 扫描 工具 发 送 的 报 文 , 且 扫 描 工 具 正 确 扫 描 到 PC1 上 已 开放 的 
端口 。 在 启动 抗 攻 击 后 ,在 PC2 上 使 用 端口 扫描 工具 对 PC1 进行 扫描 ,发 现 PC1 的 接口 只 
接收 到 少数 几 个 数据 包 , 其 他 大 量 的 扫描 数据 包 已 经 被 防火 墙 阻拦 , 且 在 PC2 的 扫描 工具 
不 能 扫描 到 PC1 上 开放 的 端口 。 


14.8 ”防火墙 实 现 链 路 负载 


14.8.1 背景 描述 


某 学 校 信息 中 心 原来 有 一 条 10Mb/s 线路 ,最 近 新 申请 了 一 条 10Mb/s 线路 ,要 求 防火 
墙 同时 使 用 新 旧 两 条 线路 ,并 且 将 流量 合理 分 摊 。 


14.8.2 实验 拓扑 
实验 的 拓扑 结构 如 图 14. 29 所 示 。 


WANI 
1.1.1.1/24 


WAN2 
2.2.2.1/24 


LAN 
192.168.1.100/24 


PC1 
192,168.1,1/24 


图 14.29 链 路 负载 实验 拓扑 

14.8.3 实验 原理 

通过 两 条 链 路 ,为 两 个 路 由 下 一 跳 配 置 相 应 的 权重 ,合理 分 配 网 络 流量 。 
14.8.4 实验 步骤 

(1) 正确 配置 防火 墙 和 PC 的 IP 地 址 ,具体 如 表 14. 5 所 示 。 

(2) 定义 安全 规则 ,允许 所 有 访问 通过 。 进 入 防火 墙 配置 页 面 ,选择 “安全 策略 ”>“ 安 
全 规则 ”, 配 置 包 过 滤 规 则 ,如 图 14. 30 所 示 。 

(3) 定义 策略 路 由 。 进 入 防火 墙 配 置 页 面 ,选择 “网 络 配 置 ">“ 策 略 路 由 ”, 单 击 “ 添 加 ” 


按钮 ,配置 到 公 网 的 路 由 ,并 配置 两 个 下 一 跳 地 址 ,分 配 相 等 的 权重 , 即 保证 流量 平分 到 两 条 
14 
链 路 上 ,如 图 14. 31 所 示 。 章 


笑 验 5 态 火 墙 的 安装 与 使 用 


表 14.5 JP 规划 表 
设备 名 称 IP 地 址 子 网 掩 码 默认 网关 
PC1 192. 168.1.1 255. 255. 255. 0 192. 168. 1. 100 
防火 墙 LAN 192. 168. 1. 100 255. 255. 255. 0 192. 168. 1. 100 
防火 墙 WAN1 Yl 255. 255. 255. 0 让 
防火 墙 WAN2 2 255. 255. 255. 0 2 
沽 足 条 件 
规则 名 : [pa | (1-1s 位 字母 数字、 减 导 、 下 划 如 的 姐 合 ) 
aa 日 ny 日 
源 地 址 ; Tf 地 址 | ”目的 地 址 I | 
掩 码 挤 码 | 
服务 : aa 日 
执行 动作 
动作 : G 允许 个 禁止 WRL 过 小: 四 
检查 流入 风口 -| 检查 流出 网 口 日 
时 间 调 度 ; | 流量 控制 : [| 
用 户 认证 : 日 志 记 录 
隧道 名 了 序号 : 3 
连接 限制 : 厂 保护 主机 三 保护 服务 厂 限制 主机 三 限制 服务 


图 14. 30 ”允许 所 有 访问 


应 加 、 输 辑 策 咯 路 由 


个 路 由 个 涯 路 由 个 路 由 负载 均衡 


目的 地 址 ; [oooo 于 LO.0.0:0 a 
下 一 中 地 址 : [E12 | 权重 : | 1 | (1-100) 
下 一 跳 地 址 ; [2.2.2.2 | 权重 : | 1 | -100) 
下 一 跳 地 址 : | ] 权重 : | (1-100) 
更 多 下 一 跳 
图 14.31 配置 策略 路 由 
实验 思考 题 

1. 实验 中 你 都 学 到 了 哪些 内 容 ? 

2. 硬件 防火 墙 有 哪些 登录 验证 方式 ? 

3. 如 何 限制 常用 的 网 络 功 能 ,例如 FTP、BT、QQ 等 。 


4. 如 果 配 置 中 有 两 条 规则 是 互相 矛盾 ,例如 前 一 条 是 禁止 某 个 端口 ,后 一 条 是 打开 这 
个 端口 ,请问 会 出 现 什么 情况 ? 
5. 利用 Web 和 超级 终端 登录 分 别 有 哪 些 优 缺 点 ? 
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15.1 实验 目的 及 要 求 


15.1.1 实验 目的 


掌握 VPN 设备 的 基本 使 用 原理 ,学 习 通过 Console 口 进 行 系统 配置 ,学 习 IPSec VPN 
隧道 ,熟悉 移动 办 公 方 式 下 的 VPN 隧道 建立 ,学 习 采 用 USB Key 的 数字 证 书 方式 进行 用 
户 身份 认证 。 


15.1.2 实验 要 求 


根据 教材 中 介绍 的 操作 步骤 完成 实验 内 容 , 详 细 观 察 并 记录 设置 的 内 容 , 理 解 设置 的 内 
容 和 原理 ,做 出 分 析 并 写 出 实验 总 结 报告 。 


15.1.3 实验 设备 及 软件 


VPN 设备 RG-WALL V50 1 台 、VPN 远程 接 和 人 系统 RG-SRA 1 套 、 路 由 器 设备 1 台 、 
PC 2 人 台 。 


15.1.4 实验 拓 外 
实验 的 拓扑 结构 如 图 15. 1 所 示 。 


L Ethl Eth0 _Fl/0 室 FI/ 略 
= 3 Es 
服务 器 。 VPN 设备 路 由 器 PC 


图 15.1 实验 拓扑 


15.2 锐 捷 VPN 命令 行 操作 


15.2.1 系统 管理 模式 


锐 捷 VPN 网 关 采 用 分 级 管理 模型 ,管理 员 分 为 两 级 : 串口 管理 员 、 界 面 管 理 员 ,并 各 自 
拥有 不 同 的 权限 。 
串口 管理 员 负 责 对 VPN 网 关 的 基本 配置 ,并 可 以 设置 修改 界面 管理 员 的 口令 ,并 限制 


网 络 安 会 与 管理 


界面 管理 员 登 录 的 IP 地 址 。 一 般 在 初始 配置 完成 后 ,只 要 网 络 的 拓扑 结构 不 再 修改 ,无 需 
再 进行 串口 配置 。 
界面 管理 员 则 负责 VPN 网 关上 日常 的 管理 和 配置 ,如 具体 的 访问 控制 规则 、 隧 道 监 


15.2.2 管理 员 


锐 捷 VPN 网 关 安 装 后 ,串口 管理 员 sadm 必须 通过 Console 口 进 行 系统 配置 ,包括 设 
定 VPN 网 关 的 IP、 路 由 、 域 名 服务 器 ,接口 配置 .用 户 管理 等 。 

sadm 的 出 厂 默 认 口 令 为 sadm。 

串口 管理 员 sadm 和 界面 管理 员 adm 不 能 同时 登录 , 当 adm 用 户 登 录 到 GUI 管理 界面 
上 时 ,串口 只 能 用 sadmview 用 户 来 查看 配置 , sadmview 不 能 修改 配置 , 出厂 口 令 为 


sadmview。 


15.2.3 串口 管理 


首先 要 对 安全 网 关 进 行 最 基本 的 网 卡 、 路 由 和 管理 员 等 信息 的 配置 。 进 行 配置 时 使 用 便 
携 机 或 台式 机 通过 串口 线 与 安全 网 关 设 备 的 串口 相连 ,在 Windows 9x/2000 或 Windows XP 
下 运行 “开始 ”菜单 中 的 “程序 ”>“ 附 件 ” 一 “通信 ”一 “超级 终端 "程序 。 

“连接 时 使 用 ”串口 按 默认 值 ,一 般 为 COM1 ,具体 串口 根据 控制 台 机 器 的 串口 线 连 在 
哪个 串口 上 为 准 。 设 置 连接 速率 “每 秒 位 数 ” 为 9600, 其 他 为 默认 值 , 即 可 连接 到 安全 网 
关 : 长 5 

在 使 用 超级 终端 时 , 若 要 使 Backspace 退 格 键 有 效 , 需 在 超级 终端 的 菜单 栏 "文件 ”处 选 
择 “ 属 性 ”, 然 后 单 击 “ 设 置 ?按钮 ,将 “Backspace 键 发 送 ” 这 一 栏 选 为 Del(D) 。 

clear(cl) 命 令 为 清空 系统 当前 所 有 配置 恢复 到 出 三 设置 。 


[sadmQ@RG-WRALL]# clear conf 输入 命令 clear conf 清空 配置 
Warning: The command will restore all 

system configuration to default and then 

REBOOT the system!!! 

Are you sure to CLEAR all the system 

conf iguration and REBOOT 

system? (Y/N):n 


警告 : 是 否 要 清空 所 有 配置 ,恢复 到 出 厂 设 置 并 重新 启动 操作 系统 Y: 确认 、N: 否 。 


15.3 IPSec VPN 通信 实验 


15.3.1 设备 的 初始 化 设置 


(1) 准备 好 PC 和 服务 器 
在 服务 器 上 安装 VPN 管理 软件 ,通过 服务 器 管理 VPN 设备 ,在 PC 上 安装 RG-SRA 


软件 ,RG-SRA 软件 是 VPN 客户 端 程序 。 
(2) 搭建 实验 拓扑 如 图 15. 1 所 示 ,然后 配置 各 设备 数据 如 表 15. 1 所 示 。 


表 15.1 IP 规 划 表 


设备 名 称 全 地 址 子 网 掩 码 默认 网关 
VPN 的 Ethl1(WAN) 192.168.1.1 255. 255. 255.0 192.168.1.1 
VPN 的 EthoCLAN) 10, 1.1.2 255. 255. 255.0 dL 
PC 10, ;2 过 255. 255. 255.0 10;1.2,1 
服务 器 的 IP 192. 168.1.2 255. 255. 255. 0 192. 168.1.1 
路 由 器 {1/0 上 1 255. 255. 255.0 
路 由 器 f1/1 和 和 255. 255. 255.0 


(3) 设置 路 由 器 的 IP 地 址 (以 锐 捷 路 由 器 为 例 ), 如 下 所 示 : 


Router>en 

Router# conf t 

RouterA(config)# interface fl/0 ! 进入 路 由 器 的 快速 以 太 网 端口 F1/0 
RouterA(config— if)# ip address 10.1.1.1 255.255.255.0 
RouterA(config— if)#no shutdown 

RouterA(config— if)#exit 

RouterR(config)# interface fl/1 ! 进入 路 由 器 的 快速 以 太 网 端口 F1/1 
RouterA(config— if)# ip address 10.1.2.1 255.255.255.0 
RouterA(config— if)#no shutdown 

RouterA(config— if)#exit 

RouterA# show ip interface f1/0 

RouterA# show ip interface f1/1 


15.3.2 VPN 管理 器 的 安装 


锐 捷 VPN 管理 平台 是 一 个 基于 Windows 图 形 用 户 界 面 的 管理 工具 。 目 前 锐 捷 VPN 
管理 平台 支持 Windows 系列 的 各 种 中 文 操作 系统 ,如 Win98、Win2000 系列 、Win XP、 
Win2003 等 。 锐 捷 VPN 管理 平台 可 以 同时 对 多 台 不 同 版 本 的 VPN 设备 进行 集中 管理 。 
安装 程序 直观 简洁 ,一 步 一 步 按 照 提示 ,直接 采用 默认 设置 ,用 户 就 可 以 轻松 地 完成 锐 捷 
VPN 管理 平台 的 安装 。 具 体 步骤 如 下 : 

(1) 双击 锐 捷 网 关 管 理 中 心软 件 安装 包 ( 锐 捷 网 关 管 理 中 心 _2. 30. 10. exe) ,打开 VPN 
管理 平台 安装 界面 ,如 图 15. 2 所 示 。 

(2) 在 图 15. 2 中 单 击 “ 下 一 步 ” 按 钮 ,进入 许可 证 协议 框 ,选择 “接受 许可 协议 ”。 

(3) 再 单 击 “ 下 一 步 ” 按 钮 ,进入 VPN 的 安装 目录 .如 图 15. 3 所 示 。 

(4) 然后 连续 单 击 “ 下 一 步 ”按钮 , 当 弹 出 图 15. 4 所 示 的 界面 时 ,表示 已 经 成 功 安装 了 
锐 捷 VPN 管理 平台 。 
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YPN 管 理 中 心 - Imstallshield Wizard 


欢迎 使 用 YPE 各 理 中 心 InstallShield Firard 


的 ) Wxsrd 将 在 计算 机 中 安装 YP 区 理 中 心 。 车 


图 15.2 安装 欢迎 界面 


YPN 管 理 中 心 - Installshield Wizard 


选择 目的 块 位 置 
安装 文 站 


装 程 序 将 在 以 下 文件 惨 中 安装 VE 管理 中 心 。 
请 间 击 “下 一 步 ”要 安装 到 其 它 文件 夫 ， 请 单 击 “ 浏 览 ”， 


nstolls 


图 15.3 选择 安装 目标 文件 夹 


YPN 管 理 中心 - Installshield Wizar 


InstallShield Wirard 完成 


+ 算 机 中 安装 YT 管理 中 心 。 


er et] | 1< 上 - 步 中 用 这 世 | 取消 


图 15.4 安装 完成 
15.3.3 VPN 首次 配置 


首先 把 VPN 设备 通电 ,VPN 设备 出 厂 时 Ethl 网 口 有 一 个 默认 IP 地 址 配置 , 即 IP 地 
址 : 192. 168. 1.1, 子 网 掩 码 : 255. 255. 255. 0。 在 配置 设备 之 前 ,计算 机 需要 一 个 和 设备 
Ethl 接口 在 同一 网 段 的 IP 地 址 ; 如 果 使 用 计算 机 直接 连 到 Ethl 接口 ,用户 可 以 使 用 交叉 
网 线 ; 如 果 把 设备 的 Ethl 网 口 直接 连 到 HUB 或 交换 机 上 ,请 使 用 直通 线 。 
在 计算 机 能 够 与 设备 通信 之 前 ,用 户 必须 修改 计算 机 的 网 络 配 置 。 具 体操 作为 : 单 击 
始 ” 一 "设置 "一 网 络 和 拨号 连接 ”, 双 击 “ 本 地 连接 ”, 再 单 击 “属性 ”, 重 新 设置 一 个 同一 
网 段 的 IP 地址 ,如 图 15. 5 所 示 , 设 置 计算 机 的 IP 地 址 为 192. 168. 1. 2。 


Internet 协议 (TCPVIP) 属性 下 x| 
铀 | 


em 


个 自动 获得 了 ? 地 址 中) 
三 有 使 用 下 面 的 IP 妇 址 G 一 一 一 一 一 
理 地 址 CD) Ps lee 1 :> 


子 网 十 码 山 [255 255 255 0 
默认 网 关 0) Ti 188 1 1 


个 自动 获得 TIS 服务 器 地 址 也 ) 
三 人 使 用 下 面 的 DIS 骤 务 器 地 址 全 ) 一 一 一 一 一 一 一 一 
首 达 DIS 服务 器 EF) : [202 .114 .0 .2 | 


备用 DIES 服务 器 (和) 
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图 15.5 本 地 IP 设 置 
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配置 好 后 ,就 可 以 从 VPN 管理 平台 登录 到 锐 捷 VPN 设备 了 。 具 体操 作为 : 
(1) 打开 “开始 ”一 “程序 ”>“ 锐 捷 VPN 管理 平台 ”, 启 动 锐 捷 VPN 管理 平台 。 若 是 第 
次 打开 VPN 管理 平台 ,里 面 是 没有 任何 VPN 设备 的 ,需要 依次 添加 网 关 组 与 网 关 。 
(2) 可 以 从 “文件 (F)”>“ 新 建 (N)” 一 “网 关 组 (G)”, 添 加 一 个 网 关 组 ,如 图 15.6 所 示 。 
(3) 添加 完 网 关 组 后 , 便 可 添加 网 关 , 从 “文件 (F)”>“ 新 建 (N)”>“ 网 关 组 (G)”, 可 以 
添加 网 关 , 在 打开 的 属性 框 中 ,填写 网 关 的 属性 ,如 图 15.7 所 示 。 


锐 捷 YPN 管 理 中 心 


网 关 名 (8); [卫生 WFN 
网 关 地 址 (I): [192 .168 .1 .1 


网 关 说 明 (D) ; 


i 取消 
图 15.6 新 建 网 关 组 图 15.7 填写 网 关 属 性 


(4) 填写 完成 后 , 单 击 “ 确 定 ” 按 钮 , 便 回 到 锐 捷 VPN 管理 平台 的 主 界面 ,如 图 15. 8 
所 示 。 


15.3.4 VPN 管理 平台 登录 


在 锐 捷 VPN 管理 平台 界面 中 双击 要 登录 的 网 关 , 系 统 将 弹出 VPN 的 登录 框 ,如 图 15.9 
所 示 。 设 备 出 厂 默认 账号 是 adm, 密 码 是 dm。 管理 员 可 以 在 用 户 认证 模块 中 修改 密码 。 
[sm 


文件 人 换 作 (o) 地 址 短 (A) 帮助 (H) 


嘿 tx 
设备 地 址 : [sziesit 
i 
pp 峰 号 ，[ 信 Gm) ”加 
铅 挤 YPN a er | 
网 关 地 址 ; LE 
192, 168. 1. 1 有 
ee 状 者: 礁 备 就 绪 


图 15.8 成 功 添加 一 个 网 关 图 15.9 系统 登录 窗口 


若 密码 填写 无 误 , 单 击 “ 登 录 ” 按 钮 , 便 可 登录 到 锐 捷 VPN 设备 了 。 登 录 后 的 界面 如 
图 15. 10 所 示 。 
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EE] FE 
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推荐 设置 全 天 率 : 10241T68 系统 字 仁 : 小 字体 BE 有 人 用 :CT 一 
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图 15.10 管理 界面 


15.3.5 网 络 接口 设置 


如 果 需 要 对 某 个 物理 接口 进行 设置 ,那么 在 网 关 VPN 界面 右边 的 目录 树 上 单 击 “ 网 络 
配置 "选项, 双击“ 网络 接口 ”选项 ,如 图 15. 11 所 示 。 

打开 设置 窗口 , 主 窗口 中 网 络 接口 列表 显示 的 是 网 关 设备 的 所 有 网 络 接口 信息 。 在 网 
络 接口 主 界面 中 分 为 上 .下 两 部 分 ,上 面部 分 是 几 个 对 设备 支持 的 物理 接口 进行 操作 的 按 
钮 ,为 设置 接口 、 启 用 接口 、 停 用 接口 ; 下 面 的 网 络 接口 状态 部 分 主要 列 出 了 每 个 接口 的 状 
态 , 包 括 接口 名 \ 配 置 状 态 .启用 状态 .连接 状态 .连接 速率 .IJP 地 址 等 信息 。 

在 网 络 接口 界面 上 单 击 设置 接口 按钮 ,打开 接口 设置 框 ,显示 的 是 常规 选项 卡 内 的 信 
息 ,常规 选项 卡 主 要 是 显示 该 接口 基本 情况 。 在 配置 信息 选项 卡 中 ,有 多 种 配置 方法 可 以 对 
接口 进行 配置 ,如 图 15. 12 所 示 ,包括 自动 获得 IP 地 址 .静态 配置 、 拨 号 .加 入 网 桥 , 还 可 以 
不 对 其 进行 配置 ,并 可 对 链 路 的 权重 进行 设置 。 其 中 权重 在 进行 多 个 外 出 链 路 的 备份 和 均 
衔 中 将 起 到 一 定 的 平衡 负载 作用 。 

如 果 该 物理 接口 属于 静态 路 由 接口 ,那么 这 里 选择 的 是 静态 获得 IP 地 址 ,就 要 在 图 中 
输入 需要 添加 接口 的 IP 地 址 和 子 网 掩 码 以 及 默认 网 关 。 


15.3.6 配置 IPSec VPN 了 膀 道 
在 虚拟 专用 网 的 目录 上 选择 IPSec VPN 并 打开 ,如 果 需 要 配置 远程 移动 用 户 接 入 , 那 
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网 络 接口 设置 
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图 15.12 接口 设置 框 


么 在 图 中 双击 远程 用 户 管理 , 打 姑 


F 远 程 用 户 管理 界面 ,如 图 15. 13 所 示 。 


允许 访问 内 部 子 网 ,设置 允许 客户 端 访问 的 内 部 子 网 信息 ,如 图 15. 14 所 示 。 
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图 15.14 允许 访问 内 部 子 网 设置 
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内 部 地 址 池 人 允许 网 络 管理 人 员 输 入 一 个 或 者 几 个 IP 地 址 范 目 


程 端 用 户 分 配 虚拟 IP 地 址 ,如 图 15. 15 所 示 。 
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图 15.15 内 部 地 址 池 设 置 


配置 本 地 用 户 数据 库 , 创 建 一 个 用 户 名 为 test, 密 码 为 1234, 并 允许 用 户 登 录 ,如 图 15. 16 


所 示 。 


本 地 用 户 数据 库 
0TP 认 证 和 PAP 认 证 所 用 的 用 户 数 据 库 。 
用 户 信息 
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图 15.16 添加 用 户 


添加 完 后 单 击 * 用 户 生效 ?按钮 ,否则 新 用 户 无 法 使 用 ,如 图 15. 17 所 示 。 
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图 15.17 单 击 * 用 户 生效 "按钮 


用 户 特征 码 表 , 如 果 需 要 对 用 户 的 登录 机 器 进行 限制 ,可 以 对 用 户 机 器 特征 进行 绑 定 ， 


如 图 15. 18 所 示 。 
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图 15.18 用 户 特征 码 表 
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用 户 机 器 的 特征 (每 个 客户 端 软件 都 可 以 显示 本 机 的 特征 码 ) 可 以 由 管理 员 手 工 导 入 ， 
也 可 以 由 客户 端 首 次 上 线 的 时 候 自动 报告 。 此 外 ,系统 对 不 在 绑 定 表 中 的 用 户 接 和 策略 分 
为 三 种 : 禁止 接 和 人 、 人 允许 接 人 不 自动 进行 绑 定 特征 码 、 允 许 接 人 并 自动 绑 定 特征 码 。 
15.3.7 RG-SRA 程序 的 使 用 


在 客户 端 PC 上 运行 RG-SRA 程序 ,开始 建立 VPN 隧道 ,如 图 15. 19 所 示 。 
较 捷 安全 运程 接 入 系统 
连接 (CC) 工具 实 ) 日 志 凶 ) 帮助 人 0 


图 15.19 RG-SRA 程序 界面 


单 击 “ 新 建 连接 ”按钮 ,填写 如 下 基本 信息 ,认证 方式 选择 “网 关 本 地 认证 ”, 如 图 15. 20 
所 示 。 


EIRO ES Wh 


修改 连接 配置 


洋 细 信息 网 关 地 址 : 10.1.1.2 
[aa 回 IP 城 名 〇 设备 标识 


图 15.20 新 建 连接 配置 


按 鼠 标 右 健 , 启 动 连接 ,如 图 15. 21 所 示 。 


连接 (C) 工具 人 ) 日 志 刀 ”二 助 人 0 


图 15.21 启动 连接 


输入 用 户 名 和 密码 ,用 户 名 为 test 和 密码 为 1234, 用 户 是 已 在 VPN 上 创建 的 用 户 ,如 
图 15. 22 所 示 。 


连接 EC) 工具 Q) 日 志 邓 ) 帮助 0 


图 15.22 输入 用 户 名 和 密码 


如 果 连 接 成 功 可 以 查看 到 如 下 信息 ,如 图 15. 23 所 示 。 现 在 可 以 正常 访问 内 网 资源 了 。 
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图 15.23 VPN 连接 成 功 信息 章 
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15.4 采用 USB-Key 的 数字 证 书 方式 进行 VPN 通信 


15.4.1 在 远 


程 用户 管 理 中 配置 “认证 参数 ” 


界面 如 图 15. 24 所 示 。 
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图 15.24 认证 参数 


15.4.2 证 书 管理 系统 RG_CMS 的 使 用 


证 书 管理 系统 的 密码 : admin, 如 图 15. 25 所 示 。 
添加 新 用 户 ,CMS 为 用 户 生成 证 书 前 必须 先 添加 该 用 户 , 此 处 的 用 户 类 型 可 以 是 VPN 
网 关 , 也 可 以 是 客户 端 用 户 ( 远 程 接 入 必须 用 这 种 用 户 )。 这 样 系统 才能 对 用 户 的 证 书 进行 


管理 和 维护 。 


1. 添加 客户 端 用 户 

在 主 菜单 上 选择 “用 户 操 作 ”>“ 添 加 新 用 户 ” 或 在 管理 视图 区 中 的 用 户 列 表 控 件 中 单 击 
右键 ,在 弹出 的 菜单 中 选择 “添加 用 户 ”, 会 弹出 用 户 信 息 配 置 对 话 框 ,请 输入 相应 的 信息 。 
如 图 15. 26 所 示 ,用户 信 息 配 置 对 话 框 中 各 项 输入 栏 中 输入 字符 的 内 容 及 长 度 是 有 限制 


的 ,其 中 前 6 个 ( 即 


国家 、 省 /直辖 市 城市 /地 区 组织、 部门、 用 户 ) 输 入 栏 中 不 能 填写 以 


下 字符 /x* : ?过 二 | "¥# 等 ,只 能 输入 数字 和 英文 ,并 且 前 6 项 输入 字符 总 数 相 加 不 
能 超过 100 个 。 在 用 户 信息 对 话 框 中 的 输入 项 说 明 
国家 : 输入 国家 或 者 省 份 , 输 入 字符 长 度 只 能 为 2 个 字符 ,如 cn。 


省 /直辖 市 : 输 
城市 /地 区 : 输 


入 省 或 市 的 名 称 , 如 bj。 
人 城市 或 者 地 区 ,如 bj。 
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于 
刘 
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城市 /地 区 
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Fo 部 
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请 入 入 管理 员 窑 码 : 
| 用 户 类 型 。” 卫 户 玉 用 户 司 
取消 取消 @ | 
图 15.25 证 书 管理 系统 登录 图 15. 26 “用 户 信息 ”对话 框 


组 织 : 输入 组 织 名 ,如 security。 

用 户 : 输入 用 户 的 拼音 或 英文 名 ,如 zhangsan、Jack, 需 要 注意 的 是 ; 在 证 书 管理 系统 
中 ,用 户 名 必须 唯一 ,不 能 重复 ,否则 新 添 用 户 时 将 无 法 添加 。 

电子 邮件 : 接收 通知 邮件 的 用 户 邮 箱 地 址 ,输入 一 定 要 正确 ,否则 用 户 将 接收 不 到 邮件 
通知 ,对 该 用 户 证 书 和 私 钥 的 远程 分 发 工作 将 无 法 继续 进行 ; 如 果 不 对 证 书 和 私 钥 进 行 远 
程 分 发 ,而 是 通过 其 他 形式 进行 分 发 ,此 项 可 以 填写 虚拟 的 邮件 地 址 。 

用 户 类 型 证 书 用 户 类 型 可 为 “客户 端 用 户 ” 和 “网 关 用 户 ”, 其 中 客户 端 用 户 即 安全 远 
程 接 入 系统 客户 端 ,网 关 用 户 即 VPN 网 关 用 户 ,根据 用 户 类 型 选择 需 生成 的 用 户 证 书 类 
型 。 请 选择 “客户 端 用 户 ”。 

上 述 信息 输入 完毕 ,请 单 击 “ 确 定 ” 按 钮 ,成 功 时 将 弹出 成 功 操作 提示 框 ,在 证 书 管理 视 
图 中 ,证 书 管理 系统 树 控件 显示 新 生成 的 证 书 节点 信息 ,用 户 列表 区 中 显示 完整 的 用 户 证 书 
信息 ,用 户 列表 控件 当前 显示 的 是 输入 的 用 户 信息 。 

2. 添加 网 关 用 户 

与 “添加 安全 远程 接 入 系统 用 户 ” 基 本 相同 ,区 别 是 在 选择 用 户 类 型 时 要 选择 网关 
用 户 ”。 
3. 为 用 户 生 成 证 书 

在 用 户 列表 控件 中 单 选 (或 多 选 ) 要 生成 证 书 的 用 户 , 右 击 , 在 弹出 的 菜单 中 选择 “生成 
证 书 ”, 如 图 15. 27 所 示 。 

当然 ,也 可 以 选择 主 菜单 中 的 “证 书 操作 ”一 “生成 证 书 ”, 执 行 生成 证 书 过 程 ,系统 会 弹 
出 等 待 状态 条 ; 生成 证 书后 ,系统 会 弹出 操作 成 功 提示 框 ; 管理 员 可 以 在 信息 窗口 中 对 生 
成 的 证 书 和 私 钥 进行 察看 。 

4. 导出 证 书 和 私 钥 

执行 导出 证 书 及 私 钥 操 作 前 ,要 先 选 中 一 证 书 用 户 , 并 且 已 经 成 功 执行 过 “生成 证 书 ” 操 
作 , 否 则 此 功能 菜单 为 灰色 不 可 用 状态 。 

选择 主 菜单 中 的 “证 书 操作 -> 导出 证 书 及 私 钥 (或 在 管理 视图 区 中 的 用 户 列表 控件 
中 选中 用 户 后 单 击 右键 ,在 弹出 的 菜单 中 选择 “导出 证 书 及 私 钥 ”) ,弹出 浏览 存放 路 径 对 话 
框 ,如 图 15. 28 所 示 。 通 过 单 击 “ 浏 览 ” 按 钮 ,选择 证 书 导出 后 存放 的 位 置 。 
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图 15.27 生成 证 书 
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图 15.28 导出 证 书 和 私 钥 


15.4.3 RG-SRA 程序 的 使 用 


在 PC 上 运行 RG-SRA 程序 ,开始 建立 VPN 隧道 ,如 图 15. 29 所 示 , 单 击 “ 新 建 连接 ”按钮 。 


较 建 安全 远程 接 人 系统 
连接 人 CC) 工具 QD 日志) 帮助 00 


连接 管理 LS 
[CE 
Ol 


图 15.29 建立 VPN 隧道 


re 


填写 如 图 15. 30 所 示 的 基本 信息 ,认证 方式 选择 “数字 证 书 认证 ”。 
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按照 标 右键 ,启动 连接 ,如 图 


图 15. 30 填写 基本 信息 


5.31 所 示 。 


OO 


连接 (CC) 工具 Cf) 日 志 氏 ) 帮助 如 
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图 15.31 启动 连接 


在 弹出 的 窗口 中 单 击 “ 获 取证 书 ” 按 钮 ,如 图 15. 32 所 示 。 
在 弹出 的 对 话 框 中 选择 “从 USB_Key 中 读 取 ”, 如 图 15. 33 所 示 。 
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在 弹出 的 对 话 框 中 输入 pin 码 : ruijie, 如 图 15. 34 所 示 。 
如 果 连 接 成 功 可 以 查看 到 如 图 15. 35 所 示 的 信息 ,现在 可 以 正常 访问 内 网 资源 了 。 
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图 15.34 输入 ruijie 
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图 15.35 配置 信息 


. 证 书 登录 和 USB-Key 登录 各 有 什么 特点 ? 

. 直接 传输 的 数据 包 和 VPN 传输 的 数据 包 有 何不 同 ? 
.VPN 的 配置 主要 配置 什么 参数 ? 

. 如 果 想 允许 某 主 机 作为 管理 主机 ,该 如 何 配置 ? 

. 如果 想 允 许 VPN 用 户 访 问 某 网 段 , 又 该 如 何 配置 ? 
. 如 何 添加 新 的 认证 用 户 ? 

.如 何在 客户 端 进行 登录 ? 
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Al 需求 分 析 


Al.1 网 络 安全 集中 管理 的 业务 目标 


为 提升 集团 的 创新 能 力 ,满足 集团 跨越 式 发 展 要 求 , 增 强 集团 整体 竞争 力 ,需要 大 力 加 
强 信息 化 建设 ,以 便 理 顺和 优化 集团 管控 模式 和 业务 流程 ,提高 整个 集团 信息 化 应 用 水 平 。 

信息 化 建设 包括 网 络 、 服 务 器 ,存储 及 应 用 等 子 系统 。 而 网 络 安全 是 顺利 实现 信息 化 建 
设 的 重要 组 成 部 分 ,规划 和 实行 网 络 中 心 的 网 络 安全 建设 便 成 为 信息 化 建设 中 相当 重要 的 
环节 。 

通过 网 络 安全 技术 建设 和 管理 规划 ,建立 完善 的 集团 网 络 安全 体系 ,包括 网 络 安全 政 
策 标准 流程 .操作 手册 和 管理 制度 ,以 及 专题 安全 设计 ,以 满足 信息 化 建设 的 安全 保障 要 
求 。 保 护 集团 信息 资产 不 受 诸多 威胁 的 侵犯 ,确保 业务 的 连续 性 ,将 业务 损失 和 风险 降低 到 
最 小 程度 。 


Al.2 网 络 安全 现状 及 需求 说 明 


集团 经 过 一 期 和 二 期 网 络 建设 和 改造 ,初步 建成 了 覆盖 40 家 企业 的 集团 企业 网 。 其 中 
骨干 网 有 4 个 一 级 节点 ,10 个 二 级 节点 ,25 个 三 级 节点 。 

在 上 面 的 网 络 建设 的 基础 上 ,各 节点 也 独立 建设 了 一 些 安全 措施 ,例如 在 连接 Internet 
的 外 网 安装 防火 墙 ,在 内 网 建设 防 病毒 系统 ,进行 域 的 建设 等 ,同时 也 建立 一 些 相应 的 管理 
制度 。 但是, 这些 措 施 和 制度 没有 形成 完善 的 体系 ,也 没有 一 个 机 构 进行 全 局 的 整体 的 规 
划 和 设计 。 我 们 知道 ,在 网 络 安全 领域 有 一 个 “ 木 桶 效应 ”: 就 像 木 桶 装 水 一 样 , 木 桶 装 水 的 
多 少 是 取决 最 短 的 一 块 木板 的 ,信息 系统 的 整体 安全 性 也 是 取决 最 短 的 一 块 木板 的 。 随 着 
集团 的 网 络 的 扩充 ,分 支 机构 逐 渐 地 增加 ,如 果 没 有 一 套 完善 的 安全 标准 ,分 支 机 构 各 自 为 
战 ,每 个 机 构 对 自身 安全 的 考虑 角度 不 同 , 安 全 系统 的 实施 的 效果 也 就 不 同 。 也 就 是 说 ,在 
某 个 分 支 机 构 ,如 果 有 某 个 方面 存在 安全 下 忽 就 可 能 成 为 整个 系统 的 后 门 。 

鉴于 此 ,在 本 次 网 络 中 心 网 络 规划 的 同时 ,准备 建设 集中 的 网 络 安全 管理 体系 ,该 体系 
涉及 的 分 支 机 构 包 括 网 络 中 心 . 生 产地 址 .生产 基地 、 开 发 中 心 ,物资 采购 中 心 、 集 体 总 部 。 
我 们 需要 从 整体 安全 的 角度 出 发 ,建立 一 个 涵盖 这 些 分 支 机构 的 、 完 善 的 .统一 的 ,可 实施 的 
网 络 安全 体系 。 


Al.3 需求 分 析 及 设计 思路 


A1l.3.1 需求 分 析 

在 充分 了 解 集团 的 网 络 安全 需求 情况 下 ,根据 我 们 在 企业 网 络 安全 建设 方面 的 经 验 , 建 
议 分 层次 逐步 建设 集团 的 网 络 安全 体系 ,从 以 下 三 个 方面 考虑 本 次 网 络 安全 系统 的 建设 。 

(1) 从 “网 络 安全 中 心 ”出 发 ,实现 分 布 式 的 网 络 安全 布局 ,集中 式 的 网 络 安全 管理 ; 

。 在 准备 新 建 的 网 络 中 心 建立 集团 网 络 安全 中 心 (以 下 简称 网 络 安 全 中 心 ); 

。 建立 集团 整体 的 网 络 安全 体系 ; 

。 在“ 网络 安全 中 心 ”建立 网 络 安全 管理 平台 ; 
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。 在 分 支 机 构 ,包括 “网 络 中心 ”“ 生 产 基地 ”“ 物 资 采 购 中 心 "“ 开 发 中 心 ”" 和 区 域 总 
部 建立 分 支 机 构 安 全 体系 ; 


“网 络 安全 中 心 ”制定 统一 的 网 络 安全 制度 和 规范 ; 
“网 络 安全 中 心 ”进行 全 局 的 考虑 并 对 各 分 支 机 构 进行 网 络 安全 集中 管理 ; 


。 en 
独立 的 管理 


(2) 
管理 : 


从 “边界 ”及 “互联 ”出 发 ,实现 中 心 与 分 支 机 构 之 间 的 “边界 ”的 网 络 安全 建设 和 


。 在 网 络 中 心 和 各 分 支 的 网 络 边 界 处 部 署 安 全 防护 系统 ,保证 中 心 和 分 支 机 构 信息 系 
统 不 受 外 界 侵 入 ; 

。 在 网 络 中心 和 各 分 支 的 网 络 传输 链 路 上 部 署 信息 加 密 系 统 , 保 证 中 心 和 分 支 之 间 传 
输 的 数据 的 安全 。 


(3) 


从 “分 支 机 构 ” 出 发 ,实现 各 分 支 机 构 内 部 网 络 安全 的 建设 和 管理 : 


。 在 各 分 支 机 构建 立 相同 的 网 络 安全 体系 ,以 满足 各 分 支 机 构 自 身 的 网 络 安 全 需求 ; 

。 分支 机 构 可 对 本 部 的 网 络 安全 体系 进行 管理 

。 网 络 中 ， 的 网 络 安 全 管理 中 心 又 可 集中 管理 各 分 支 的 网 络 安全 体系 。 

总 的 来 说 ,对 网 络 安全 中 心 而 言 , 它 具有 集中 管理 各 分 支 机 构 网 络 安全 体系 的 能 力 ; 对 
互联 的 边界 而 言 , 它 具 有 防止 外 来 人 侵 和 传输 加 密 的 功能 ,同时 又 可 被 中 心 集中 管理 ; 对 分 
支 机 构 而 言 , 它 具有 自己 的 网 络 安全 体系 ,并 可 对 其 进行 管理 


Al, 


3.2 设计 思路 


要 如 以 上 和 夹 和 机 我 们 结合 集团 的 业务 特性 ,设计 思路 如 下 : 


CY 


“中 心 "。 网 络 安全 管理 中 心 (位 于 网 络 中 心 ) 的 建设 ,包括 : 


。 建设 统一 的 企业 安全 管理 平台 
。 建设 统一 的 Windows 域 ,并 规划 各 自 的 信任 关系 ; 
。 建设 统一 的 内 网 安全 及 管理 系统 ; 


LE 设 统 一 的 防 病毒 管理 系统 ; 
E 设 统一 的 身份 认证 系统 ; 


。 妇 


设 统一 的 文档 保护 及 安全 审计 系统 ; 


* 网 络 安全 制度 和 规范 的 制定 ,包括 面向 中 心 和 面向 分 支 。 


(2) 


“边界 ”及 “互联 ”。 各 分 支 与 网 络 中 心 互联 的 网 络 边 界 及 链 路 安全 建设 ,包括 : 


。 防火 墙 ; 

。 异常 流量 分 析 ; 

。 数据 传输 加 密 (VPN 或 者 IP 加 密 机 ); 
。 和 人 侵 检测 及 防护 。 


(3) 


“分 支 机 构 ”。 网 络 中 心 及 各 分 支 网 络 安全 系统 的 建设 ,包括 : 


。 分 支 机 构 子 域 的 建设 和 管理 ; 
。 桌面 防 病毒 ; 

。 内 网 安全 及 管理 系统 ; 

。 身份 认证 系统 ; 


”文档 保护 及 安全 审计 系统 ; 

。 防 病毒 网 关 ( 主 要 是 指 与 Internet 互联 的 外 网 ); 

。 网 络 安全 制度 及 规范 的 贯彻 实施 。 

下 面 根据 以 上 设计 思路 ,对 集团 的 安全 需求 进行 初步 的 方案 设计 。 


A2 总 体 方案 设计 


A2.1 方案 综述 


整个 网 络 安全 系统 从 物理 上 划分 为 6 个 部 分 , 即 网 络 中 心 ,北京 总 部 、 两 个 生产 基地 , 物 
资 采购 中 心 和 开发 中 心 。 而 从 逻辑 上 则 划分 成 一 个 网 络 安全 中 心 和 6 个 独立 的 子 系统 ,其 
中 在 网 络 中 心 的 安全 机 构 同 时 扮演 网 络 安全 中 心 和 网 络 中 心 子 系统 两 个 角色 ,北京 总 部 \ 两 
个 生产 基地 ,物资 采购 中 心 和 开发 中 心 都 作为 子 系统 。 
网 络 安全 中 心 作为 所 有 子 系统 的 集合 地 ,负责 对 6 个 子 系统 进行 集中 管理 。 

每 个 子 系统 是 一 个 独立 的 安全 区 域 , 在 严格 遵守 集团 公司 的 网 络 安全 制度 和 规范 的 前 
提 下 ,每 个 安全 区 域 有 一 套 相对 独立 的 网 络 安全 系统 ,这 些 相对 独立 的 系统 能 够 被 网 络 安全 
中 心 所 管理 。 同 时 ,在 每 个 安全 区 域 边界 都 进行 有 效 的 安全 控制 ,防止 安全 事件 扩散 至 其 他 
安全 区 域 ,将 事件 控制 在 最 小 的 范围 内 。 

在 以 上 的 逻辑 划分 基础 上 ,进行 以 下 网 络 安全 系统 设计 。 


A2.2 网 络 安全 中 心 设计 


网 络 安全 中 心 设 计 即 集团 网 络 安全 管理 体系 的 建设 如 下 : 

(1) Windows 域 的 建设 。 使 用 微软 的 活动 目录 ,对 网 络 进行 域 的 划分 。 在 网 络 中 心 建 
立根 域 , 集 中 管理 企业 的 资源 。 针 对 不 同 的 分 支 建立 各 自 的 子 域 , 并 根据 实际 情况 建立 子 域 
和 根 域 . 子 域 和 子 域 之 间 的 信任 关系 。 

(2) 防 病毒 中 心 建设 。 使 用 企业 版 防 病毒 系统 的 分 级 管理 功能 ,对 网 络 进行 管理 单元 
划分 。 在 信息 中 心 建立 一 级 防 病毒 服务 器 ,负责 所 有 二 级 防 病毒 服务 器 的 统一 管理 。 在 不 
同 的 分 支 建立 各 自 的 二 级 防 病毒 服务 器 ,负责 本 部 的 防 病毒 客户 端 管理 。 

(3) 内 网 安全 及 管理 中 心 建设 。 使 用 内 网 安全 及 管理 系统 的 分 级 管理 功能 ,对 网 络 进 
行 管理 单元 划分 。 在 信息 中 心 建立 内 网 安全 及 管理 中 心 , 负 责 所 有 分 支 内 网 安全 及 管理 系 
统 的 统一 管理 。 在 不 同 分 支 建立 各 自 的 内 网 安全 及 防护 系统 ,负责 本 部 内 网 安全 及 管理 系 
统 的 运 维 。 

(4) 身份 认证 中 心 建设 。 在 信息 中 心 建立 统一 的 身份 认证 系统 ,负责 对 各 分 支 用 户 的 
身份 进行 管理 ,确保 用 户 的 身份 安全 ,防止 身份 账号 泄露 带 来 的 安全 事件 发 生 。 

(5) 文件 保护 及 安全 审计 中 心 建设 。 在 信息 中 心 建立 统一 的 文件 保护 及 安全 审计 系 
统 , 负 责 对 各 分 支 关键 文件 资源 的 保护 ,并 对 关键 文件 资源 的 访问 进行 详细 的 安全 审计 。 

(6) 建立 网 络 安全 中 心 的 企业 安全 管理 平台 。 对 所 有 的 安全 事件 进行 汇总 分 析 ,提供 
整个 网 络 中 网 络 安全 的 运行 报告 ,并 给 出 一 个 全 局 的 安全 事件 分 析 ,协助 管理 员 对 分 散 的 安 
全 事件 点 进行 安全 防护 。 
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网 络 安 会 与 管理 


(7) 制定 中 心 和 分 支 相应 的 安全 管理 规范 和 规章 制度 。 

(8) 充分 利用 服务 商 提供 的 安全 服务 对 网 络 进行 安全 评估 ,对 员工 进行 安全 培训 。 在 
发 生 安全 事件 时 ,由 服务 商 协 助 解决 安全 事件 。 随 着 网 络 安全 的 发 展 进一步 完善 网 络 中 心 
网 络 的 安全 体系 ,同时 又 有 坚固 的 安全 服务 后 盾 。 


A2.3 边界 及 互联 安全 设计 


边界 及 互联 安全 设计 即 网 络 中 心 与 各 分 支 机 构 互 联 的 网 络 边 界 及 链 路 安全 的 建设 
如 下 : 

(1) 在 与 Internet 连接 的 网 络 边界 处 部 署 防毒 墙 ,对 进入 企业 的 数据 包 进行 病毒 扫描 ， 
控制 外 来 访问 ,确保 企业 网 络 的 安全 性 。 

(2) 在 网 络 中 心 与 北京 总 部 .各 生产 基地 、 物 资 采购 中 心 及 开发 中 心 网 络 连 接 边界 处 部 
署 防火 墙 ,控制 访问 ,增强 数据 访问 的 安全 性 。 

(3) 使 用 防火 墙 集成 的 入 侵 检 测 及 防护 功能 对 所 有 进入 信息 中 心 的 数据 进行 分 析 , 识 
别 非 正常 访问 ,并 加 以 阻止 。 

(4) 在 网 络 中 心 与 北京 总 部 .各 生产 基地 、 物 资 采购 中 心 及 开发 中 心 之 间 , 利 用 电信 专 
线 ,结合 防火 墙 VPN 功能 或 者 IP 加 密 机 ,对 数据 传输 进行 加 密 , 增 强 数 据 在 传输 过 程 中 的 
安全 性 。 

(5) 在 网 络 中 心 及 各 分 支 网 络 边 界 部 署 * 异 常 * 流 量 分 析 系 统 ,对 所 有 进出 的 数据 进行 
分 析 , 对 异常 流量 进行 报警 ,协助 管理 员 阻止 异常 流量 进入 企业 内 网 。 


A2.4 分 支 机 构 网 络 安全 设计 


分 支 机 构 网 络 安全 设计 即 网 络 中 心 及 各 分 支 网 络 安全 系统 的 建设 ,包括 如 下 一 些 内 容 : 

(1) 子 域 的 建设 。 针 对 子 域 中 不 同 部 门 和 不 同 的 用 户 设 定 不 同 的 工作 组 ,定制 各 自 的 
策略 和 权限 ,有 效 地 对 资源 、 资 源 的 访问 以 及 员工 的 使 用 进行 管理 。 

(2) 二 级 防 病毒 系统 建设 。 在 各 分 支 建立 二 级 防 病毒 服务 器 ,在 所 有 客户 机 部 署 桌面 
防 病毒 ,负责 本 机 的 病毒 防护 。 通 过 二 级 防 病毒 系统 对 本 部 的 防 病毒 客户 端 进行 管理 ,例如 
强制 客户 端 升 级 病毒 库 ,强制 客户 端 开启 防 病毒 软件 等 ,以 达到 更 好 地 防 病毒 效果 。 同 时 ， 
防 病毒 二 级 服务 器 将 本 部 防 病毒 运 维 状况 汇总 到 一 级 服务 器 。 

(3) 分 支 内 网 安全 及 管理 系统 建设 。 管 理 方面 实现 资产 管理 .远程 协助 .结合 Windows 
域 完成 操作 系统 或 补丁 的 分 发 等 功能 ,对 客户 机 操作 系统 的 安全 性 和 计算 机 所 安装 的 软件 
进行 有 效 地 控制 ,对 终端 客户 机 进行 远程 协助 等 。 安 全 方面 实现 外 设 控制 ,非法 外 联 及 非法 
接 人 ,对 客户 机 光驱 ,软驱 `USB 移动 存储 设备 进行 有 效 地 控制 ,防止 员工 利用 这 些 移动 存 
储 设备 泄漏 公司 机 密 ; 对 员工 计算 机 的 网 络 连接 进行 有 效 控制 ,防止 员工 利用 电话 拨号 等 
手段 与 外 界 进行 信息 通信 ; 对 外 来 人 员 自 带 计 算 机 非法 接 和 人 贵 公司 网 络 进行 有 效 控制 , 防 
止 外 来 人 员 的 非法 入 侵 。 信 息 中 心 则 可 以 通过 中 心 管理 平台 了 解 甚 至 管理 各 分 支 内 网 安全 
及 管理 系统 。 

(4) 文件 保护 及 安全 审计 系统 建设 。 通 过 该 系统 ,对 重要 的 文件 进行 访问 控制 细 化 和 
审计 ,更 大 程度 地 保证 公司 文件 的 安全 性 ,防止 内 部 人 员 泄 露 公 司机 密 ,并且 在 发 生 泄漏 事 
件 后 可 以 根据 审计 日 志 协 助 调查 。 


(5) 身份 认证 系统 建设 。 对 于 权限 较 大 的 用 户 ,我 们 建议 采用 强身 份 认证 ,以 防止 这 些 
用 户 的 账号 被 窃 造 成 企业 的 损失 。 
(6) 在 网 络 中 心 初期 建设 时 可 以 建立 统一 的 账号 管理 系统 ,实现 将 来 多 应 用 系统 的 账 


号 整合 。 
A3 网 络 安全 中 心 的 建设 


A3.1 Windows 域 建设 


Windows 域 的 建设 使 用 微软 的 活动 目录 ,对 网 络 进行 域 的 划分 。 在 信息 中 心 建立 根 
域 ,集中 管理 企业 的 资源 。 针 对 不 同 的 分 支 建立 各 自 的 子 域 ,并 根据 实际 情况 建立 子 域 和 根 
域 . 子 域 和 子 域 之 间 的 信任 关系 。 

另外 , 域 建设 是 内 网 管理 的 基础 平台 ,许多 内 网 管理 系统 都 是 基于 域 工作 的 ,因此 域 的 
建设 相当 重要 。 我 们 建议 把 Windows 域 作为 最 基本 的 安全 措施 在 整个 集团 信息 系统 中 实 
施 , 通 过 域 的 实施 ,可 以 提高 整个 系统 的 安全 性 。 

根据 网 络 中 心 的 实际 情况 进行 域 的 设计 : 

(1) 在 网 络 中 心 ,部 署 主 备 两 台 根 域 控 服务 器 ,对 整个 集团 的 Windows 资源 进行 管理 ， 
且 主 用 备用 进行 热 备份 ,防止 单 点 故障 。 

(2) 在 各 分 支 机 构 ,部 署 主 备 两 台子 域 控 服 务 器 ,对 本 部 的 Windows 资源 进行 管理 , 且 
主 用 备用 进行 热 备份 ,防止 单 点 故障 。 

(3) 根据 各 分 支 的 各 部 门 ,建立 不 同 的 工作 组 ,在 工作 组 中 ,建立 不 同 的 用 户 ,确保 每 人 
一 个 账号 ,针对 账号 设 定 不 同 的 策略 和 权限 。 


A3.2 桌面 防 病毒 部 署 


A3.2.1 方案 设计 

建议 在 网 络 安全 中 心 建立 企业 级 防 病毒 系统 ,以 达到 集中 管理 的 目的 : 

(1) 在 网 络 安全 中 心 部 署 防 病毒 控制 中 心 , 即 一 级 防 病毒 服务 器 。 

(2) 在 各 分 支部 署 二 级 防 病毒 服务 器 。 

(3) 一 级 服务 器 负责 病毒 定义 代码 的 更 新 ,从 Internet 更 新 ,如 果 服 务 器 不 能 直接 连接 
Internet, 则 可 由 管理 员 下 载 后 手动 更 新 。 

(4) 一 级 服务 器 更 新 完成 后 ,将 新 的 病毒 定义 代码 推送 到 各 二 级 服务 器 ,二 级 服务 器 接 
收 到 后 进行 更 新 。 

同样 策略 的 分 发 也 是 由 上 至 下 ,由 防 病毒 控制 中 心 制定 防 病毒 策略 ,通过 一 级 服务 器 分 
发 到 二 级 服务 器 ,再 由 二 级 服务 器 分 发 到 客户 端 ; 如 果 分 支 机 构 现 有 防 病毒 系统 与 将 要 采 
用 的 企业 防 病毒 系统 不 同 , 可 以 逐步 过 渡 到 统一 的 防 病毒 系统 来 。 

经 过 这 样 的 防 病毒 部 署 ,整个 集团 网 络 安全 系统 就 具有 了 一 个 可 统一 管理 的 防 病毒 系 
统 , 大 大 增强 了 企业 对 病毒 的 抵抗 力 , 提 高 了 员工 利用 计算 机 工作 的 效率 。 同 时 也 方便 了 管 
理 员 对 客户 机 的 管理 ,提高 了 管理 员 的 工作 效率 。 
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A3.2.2 产品 选 型 

根据 网 络 中 心 的 实际 情况 ,结合 目前 防 病毒 软件 厂商 的 特点 ,推荐 使 用 Symantec 
Antivirus 企业 版 防 病毒 软件 。 其 特性 如 下 : 

(1) 从 一 个 管理 控制 台 提供 高 级 的 .企业 范围 的 病毒 防护 和 监视 。 

(2) 扩展 威胁 检测 和 威胁 分 类 功能 可 识别 不 受 欢 迎 的 应 用 程序 ,如 间谍 软件 和 广告 
软件 。 

(3) 威胁 跟踪 器 可 识别 通过 开放 式 文件 共享 进行 传播 的 混合 型 威胁 攻击 的 来 源 ( 如 
Nimda) 。 

(4) 出 站 电子 邮件 蠕虫 启发 式 技术 可 防止 客户 端 系统 通过 电子 邮件 传播 蠕虫 病毒 。 

(5) 可 以 对 通过 POP3 邮件 客户 端 (如 Outlook、Eudora 和 Netscape Mail) 传输 的 传人 
电子 邮件 进行 互联 网 电子 邮件 附件 扫描 。 

(6) Symantec VPN Sentry 能 够 确保 系统 在 访问 企业 网 络 资源 前 完全 遵从 企业 策略 。 

(7) 存储 和 转发 警报 功能 可 确保 未 连接 到 网 络 的 计算 机 在 重新 连接 到 网 络 后 存储 事件 
数据 ,并 将 事件 数据 转发 给 管理 员 。 

(8) 内 存 中 扫描 功能 可 检测 威胁 ,并 在 威胁 造成 破坏 之 前 终止 内 存 中 的 可 疑 进程 

(9) 集中 化 的 网 络 审 核 功 能 帮助 识别 未 受 保 护 的 节点 以 及 受到 Symantec Antivirus 
Corporate Edition 的 保护 或 选择 了 第 三 方 安全 产品 的 节点 。 

(10) 由 世界 领先 的 互联 网 安全 研究 和 支持 组 织 一 一 赛 门 铁 克 安 全 响应 中 心 提供 支持 。 


A3.3 内 网 安全 及 管理 


A3.3.1 方案 设计 

(1) 在 网 络 安全 中 心 部 署 中 心 核心 服务 器 及 内 网 管理 控制 中 心 。 

(2) 在 各 分 支部 署 分 支 核心 服务 器 及 分 支管 理 控制 中 心 。 

(3) 信息 中 心 可 以 通过 内 网 管理 控制 中 心 对 本 部 和 各 分 支 的 分 支 核心 服务 器 进行 
管理 。 

(4) 各 分 支 可 以 通过 分 支 控制 中 心 对 本 部 的 核心 服务 器 及 客户 端 进行 管理 

A3.3.2 产品 选 型 

根据 方案 设计 的 内 容 , 推 荐 LANDesk 管理 套件 和 e-Cop 网 络 巡警 ,由 两 个 产品 合作 实 
现 内 网 安全 和 管理 。 

1) LANDesk 管理 套件 的 特性 

(1) 保持 最 新 的 安全 补丁 和 病毒 更 新 ,能 够 高 效 地 自动 进行 漏洞 评估 ,修补 以 及 即时 的 
补丁 管理 (该 组 件 需 单独 购买 ) 。 

(2) 高 效 的 安装 和 维护 桌面 软件 ,包括 LANDesk 程序 生成 安装 包 、 多 文件 MSI 安装 
包 、 独 立 软 件 安装 包 、WISE 安装 包 等 。 

(3) 减少 软件 许可 证 的 费用 以 及 响应 审计 的 要 求 ,可 以 轻松 地 了 解 当 前 网 络 中 应 用 软 
件 的 使 用 数量 ,可 以 知道 当前 软件 的 使 用 趋势 ,也 可 以 限制 许可 证 的 使 用 数量 ,确保 公司 的 
软件 使 用 符合 许可 。 

(4) 降低 支持 中 心 费用 。 


(5) 管理 物理 设备 .合同 以 及 财务 资产 ,能 够 收集 所 有 的 计算 机 软 硬 件 资源 ,如 所 管辖 
客户 端的 计算 机 的 BIOS 参数 内 容 .CPU 类 型 .内存 数量 、 系 统 信息 ,操作 系统 版 本 、 已 安装 
的 软件 等 。 

(6) 向 新 操作 系统 迁移 用 户 和 配置 信息 ,自动 化 的 配置 文件 迁移 保存 用 户 、 系 统 和 应 用 
程序 设置 并 且 在 迁移 完成 后 自动 恢复 配置 。 

(7) 实施 计算 机 外 设 的 控制 ,例如 关闭 USB、.MODEM 并口 .串口 等 ,防止 非常 外 联 , 非 
法 复制 文件 。 

(8) 可 以 帮助 远程 的 客户 端 进行 异地 操作 和 检查 系统 问题 ,充分 发 挥 、 共 享 服务 器 端的 

2) e-Cop 网 络 巡警 主要 实现 对 外 来 人 员 接 人 内 网 的 控制 的 特性 

(1) 提供 全 浏览 器 .中 文化 的 用 户 操作 界面 ,使 用 和 操作 非常 简单 直截了当 。 

(2) 基于 Web 的 网 络 管理 系统 ,可 以 同时 支持 多 人 在 不 同 的 地 点 访问 管理 网 络 。 

(3) e-Cop 自身 带 有 用 户 身份 认证 和 授权 管理 系统 ,保证 其 自身 的 安全 。 

(4) 实时 扫描 获取 与 分 析 在 线 计算 机 的 IP 地 址 信息 。 

(5) IP 地 址 .MAC 地 址 的 合法 性 判定 。 

(6) 支持 IP-MAC 绑 定 、 特 权 MAC 地 址 和 DHCP MAC 地 址 三 种 合法 性 管理 方式 。 

(7) 警告 和 阻 断 使 用 非法 IP 地 址 的 计算 机 。 

(8) 统计 分 析 非 法 IP 地 址 使 用 的 历史 情况 。 

(9) 支持 主动 探测 和 被 动 侦 听 等 多 种 扫描 方式 。 

(10) 通过 在 各 网 段 部 署 的 IP 地 址 管理 代理 服务 器 收集 本 网 段 IP 地 址 信息 ,并 汇总 到 
管理 服务 器 上 进行 全 网 集中 管理 。 


A3.4 文件 保护 及 安全 审计 


A3.4.1 方案 设计 

(1) 在 网 络 中心 和 各 分 支部 署 文档 保护 及 安全 审计 系统 。 

(2) 网 络 安全 中 心 和 各 分 支 的 管理 员 通 过 控制 台 管 理 本 部 的 文档 保护 及 安全 审计 

(3) 网 络 安全 中 心 的 管理 员 可 以 通过 Web 浏览 器 浏览 本 部 及 各 分 支 的 安全 审计 日 志 ， 
以 了 解 各 分 支 文 件 保护 及 安全 审计 系统 的 运行 状况 。 

(4) 客户 端 需要 添加 解密 客户 端 软件 ,用 户 使 用 浏览 器 下 载 文件 后 利用 解密 客户 端 软 
件 进行 操作 。 

A3.4.2 产品 选 型 

这 一 类 产品 国内 研发 较 多 ,可 选 范围 也 比较 大 ,推荐 前 沿 科 技 文 档 安全 管理 系统 
(eDocGuard) 。 其 产品 特性 如 下 : 

(1) 核心 加 密 技 术 ,128-bit Encryption ,X. 509 certificates,PKI。 

(2) Server 跨 平台 支持 ,J2EE Platform / Windows。 

(3) 支持 文件 格式 Microsoft Office、.PDF、AutoCAD、TXT、JPG、BMP 等 。 

(4) 支持 LDAP V3.0(DOMINO、AD) 。 
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(5) 可 控制 阅读 、 复 制 . 打 印 、 拷 贝 ,还原 等 权限 和 到 期 日 。 

(6) 具有 强 审计 功能 ,可 以 做 到 A 用 户 BB 时间 在 C 计 算 机 对 D 文 档 做 了 下 操作 的 审计 。 

(7) 可 以 做 到 离线 认证 , 即 用 户 离开 公司 环境 后 仍 可 打开 文档 ,但 仅 限 于 本 机 打开 , 复 
制 后 文件 失效 。 


A3.5 企业 数字 身份 管理 系统 


A3.5.1 方案 设计 

建立 基于 公 钥 技术 的 安全 平台 ( 含 证 书 认证 中 心 . 密 钥 管 理 中 心 .审核 注册 中 心 .密码 与 
认证 服务 系统 等 ), 对 各 类 用 户 .设备 的 接 入 进行 强 认证 ,并 在 此 基础 上 提供 授权 服务 (身份 
验证 ,权限 管理 及 访问 控制 ,数据 安全 传输 .数据 安全 存储 数字 签名 .审计 和 统计 .时 间 戳 服 
务 、 网 页 内 容 的 防 算 改 等 ), 从 而 实现 对 业务 及 数据 的 安全 管理 。 

数字 证 书 的 格式 一 般 采 用 X. 509 国际 标准 。 目 前 ,数字 证 书 主要 分 为 安全 电子 邮件 证 
书 . 个 人 和 企业 身份 证 书 、 服 务 器 证 书 以 及 代码 签名 证 书 等 几 种 类 型 证 书 。 

在 网 络 安全 中 心 部 署 企 业 数 字 身 份 管理 系统 ,所 有 证 书 都 由 该 系统 根据 使 用 者 的 身份 
进行 派发 。 在 需要 保护 的 服务 器 以 及 个 人 主机 上 安装 安全 认证 代理 客户 端 软 件 。 

派发 的 数字 证 书 采 用 PKI(Public Key Infrastructure, 公 开 密 钥 基 础 架构 ) 技 术 ,利用 一 
对 互相 匹配 的 密 钥 进行 加 密 和 解密 。 每 个 用 户 自己 设 定 一 把 特定 的 仅 为 本 人 所 知 的 私有 密 
钥 ( 私 钥 ) ,用 它 进行 解密 和 签名 ; 同时 设 定 一 把 公共 密 钥 ( 公 钥 ) ,由 本 人 公开 ,为 一 组 用 户 
所 共享 ,用 于 加 密 和 验证 签名 。 当 发 送 一 份 保密 文件 时 ,发 送 方 使 用 接收 方 的 公 钥 对 数据 加 
密 ,而 接收 方 则 使 用 自己 的 私 钥 解密 ,通过 数字 的 手段 保证 加 解密 过 程 是 一 个 不 可 逆 过 程 ， 
即 只 有 用 私有 密 钥 才能 解密 ,这 样 保证 网 络 安全 无 误 地 到 达 目 的 地 。 用 户 也 可 以 采用 自己 
的 私 钥 对 发 送信 息 加 以 处 理 , 形 成 数字 签名 。 由 于 私 钥 为 本 人 所 独 有 ,这样 可 以 确定 发 送 者 
的 身份 ,防止 发 送 者 对 发 送信 息 的 抵赖 性 。 接 收 方 通过 验证 签名 还 可 以 判断 信息 是 否 被 臭 
改过 。 在 公开 密 钥 基 础 架构 技术 中 ,最 常用 的 一 种 算法 是 RSA 算法 ,其 数学 原理 是 将 一 个 
大 数 分 解 成 两 个 质数 的 乘积 ,加 密 和 人 解密 用 的 是 两 个 不 同 的 密 钥 。 即 使 已 知 明文 密 文 和 加 
密 密 钥 (公开 密 钥 ) , 想 要 推导 出 解密 密 钥 (私密 密 钥 ) ,在 计算 上 是 不 可 能 的 。 按 现在 的 计算 
机 技术 水 平 , 要 破解 目前 采用 的 1024 位 RSA 密 钥 ,一 台 计 算 机 需要 上 千年 的 计算 时 间 。 即 
使 是 调集 全 世界 所 有 的 计算 机 ,也 需要 一 年 半 的 时 间 才 能 够 破解 。 

A3.5.2 产品 选 型 

上 海 市 数字 证 书 认 证 中 心 有 限 公司 的 UniTrust@ DIDMSTM- 了 型 是 SHECA 在 实际 
运作 过 程 中 ,根据 用 户 需求 开发 的 一 套 企业 级 的 PKI 解决 方案 套件 。 它 通过 提供 身份 认证 
等 服务 ,使 用 户 能 以 最 少 的 投资 建立 起 一 个 可 控 \ 方 便 的 信息 化 安全 管理 系统 。 

DIDMSTM 是 一 台 软 硬 一 体 机 设备 ,DIDMSTM 产品 支持 各 类 国际 标准 并 采用 国家 密 
码 委员 会 认可 的 加 密 算 法 模块 ,能 够 存储 长 达 7 年 的 证 书 量 ,可 签发 1 一 10 000 张 证 书 。 它 
同时 支持 UniTrust® 的 SafeEngine 和 证 书 管理 器 ,以 进行 应 用 开发 。 

系统 采用 一 级 管理 模式 代替 CA-RA 结构 ,应 用 动态 口令 技术 确保 密 钥 的 在 线 安全 使 
用 。 此 外 ,简洁 美观 的 Web 操作 界面 ,简单 易 用 。DIDMSTM 为 软 硬 一 体 机 ,能 够 充分 发 
挥 硬件 特性 ,便于 管理 和 维护 ,并 减少 人 为 干预 。 


DIDMSTM 可 与 以 下 软件 协同 工作 : 

。 客户 端 应 用 程序 Netscape Navigator, Netscape Communication, Microsoft 
Internet Exploer, UniTrust® SafeEngine, UniTrust® 证 书 管理 器 。 

。 各 种 Web 服务 器 ”Microsoft IIS WebServer, Netscape Enterprise, Apache, Java 
WebServer,Domino 等 。 

。 遵从 X.509 和 PKCS 的 所 有 PKI 应 用 程序 。 

充分 满足 或 支持 国际 标准 : X. 509v1、X. 509v2、X. 509v3、CRL、OCSP、 TimeStamp、 

PKCS1 .PKCS8 .PKCS7 .PKCS10.ASN]1 .MIME .SSL.SMIME.LDAP. 
采用 国家 密码 委员 会 认可 的 加 密 算法 : RSA、SDBI、SHA1、MD5、MD2。 


A3.6 强身 份 认证 


对 于 权限 较 大 的 用 户 以 及 网 络 管理 的 用 户 ,建议 采用 强身 份 认证 ,以 防止 这 些 用 户 的 账 
号 被 窃 造成 企业 的 损失 。 

建议 结合 域 账号 ,为 这 些 权 限 较 大 的 用 户 增加 动态 令 牌 的 强身 份 认证 系统 ,增强 对 这 些 
用 户 的 账号 保护 ,确保 使 用 这 些 账 号 的 人 的 合法 身份 。 

一 般 意 义 上 的 身份 认证 是 指使 用 者 在 登录 某 系 统 或 应 用 时 输入 用 户 名 和 密码 ,系统 或 
应 用 确认 用 户 名 和 密码 正确 后 ,释放 权限 给 使 用 者 。 但 这 样 的 认证 方式 始终 存在 漏洞 ,如 果 
该 用 户 名 和 密码 被 人 窃取 ,那么 系统 或 软件 就 无 法 识别 这 个 使 用 的 人 是 合法 拥有 者 ,还 是 窃 
取 者 。 因 此 ,确认 使 用 者 合法 身份 成 了 身份 认证 需要 解决 的 问题 。 

动态 令 牌 产品 是 基于 强 密码 的 身份 认证 系统 ,用 户 在 进行 系统 身份 认证 时 需要 输入 用 
户 名 ,静态 PIN 码 ,动态 密码 三 个 要 素 ,才能 正常 登录 。 而 动态 密码 存放 在 一 块 包含 石英 钟 
和 加 密 算法 的 令 牌 卡 上 ,该 密码 每 分 钟 变 换 一 次 , 且 只 能 使 用 一 次 。 基 于 这 样 的 认证 方式 ， 
窃取 者 即使 窃取 了 用 户 名 和 静态 PIN 码 也 无 法 登录 系统 。 大 大 加 强 了 对 使 用 者 的 合法 身 
份 的 保护 。 

目前 业界 比较 成 熟 , 且 口碑 非常 好 的 产品 RSA Secure ID, 能 够 与 用 户 环 境 良 好 的 结 
合 ,并 且 达 到 非常 好 的 身份 保护 效果 。 


A3.7 企业 安全 管理 平台 


A3.7.1 方案 设计 

网 络 管理 员 要 想 达 到 更 好 的 管理 网 络 效果 ,进行 日 志 分 析 是 非常 重要 的 。 通 过 对 日 志 
的 分 析 , 可 以 做 到 追踪 重要 的 事件 以 供 审 计 、 提 供 调查 所 需 的 资料 .确定 异常 的 事件 和 确认 
责任 等 。 确 定 一 些 紧 要 的 安全 事件 ,加 以 规划 、 整 合 . 分 析 、 关 联 及 做 出 ,适当 的 追踪 、 调 查 及 


应 对 措施 。 
而 如 今 众多 的 安全 产品 都 具有 自己 的 日 志 系 统 , 各 自 为 政 , 很 难为 管理 员 提 供 一 个 统一 
的 安全 事件 分 析 。 


通过 企业 安全 管理 平台 , 便 可 为 企业 提供 一 个 统一 的 安全 事件 管理 系统 。 此 系统 可 以 
整合 .划一 关联 及 分 析 多 元 系统 日 志 , 可 以 在 一 个 平台 上 处 理 任何 系统 的 日 志 。 具 有 误 报 
过 滤 .自动 处 理 、 攻 击 归 类 和 预警 功能 。 独 立 于 安全 设备 三 家 ,支持 加 密 安 全 通信 ,没有 代理 
服务 器 ,具有 动态 数据 挖掘 和 分 析 功 能 .同时 具有 风险 管理 和 应 对 措施 功能 。 还 有 , 它 具 有 
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网 络 安 会 与 管理 


追踪 和 报表 功能 。 

A3.7.2 产品 选 型 

推荐 使 用 目前 在 安全 管理 方面 表现 较为 突出 的 产品 eCop 公司 的 Cyclops ESM 企业 
网 络 安全 管理 系统 ,该 系统 的 特点 如 下 : 

(1) 具有 跨 平台 、 跨 规格 的 安全 事件 推论 引擎。 

(2) 支持 四 种 语言 ( 含 双 字 节 ) 英 汉 ( 简 /繁体 ) 及 日 文 。 

(3) 含 8 种 不 同 推论 知识 库 和 事件 关联 的 技术 ,可 沟通 超过 50 种 品牌 的 产品 (ESM & 
NMS) 。 

(4) 可 以 整合 .划一 .关联 及 分 析 多 元 系统 日 志 , 在 一 个 平台 上 处 理 任何 系统 的 日 志 。 

(5) 具有 误 报 过 滤 、 自 动 处 理 、 攻 击 归 类 和 预警 功能 。 

(6) 独立 于 安全 设备 厂家 ,支持 加 密 安全 通信 ,没有 代理 服务 器 ,具有 动态 数据 挖掘 和 
分 析 功 能 。 

(7) 具有 风险 管理 和 应 对 措施 功能 。 

(8) 具有 追踪 和 报表 功能 。 

(9) 支持 众多 主流 厂商 的 产品 。 


A3.8 安全 管理 体系 (管理 制度 ) 


对 于 一 个 完善 的 安全 系统 ,必须 具备 相应 的 管理 体系 ,只 有 在 行政 和 技术 上 同时 达到 安 
全 ,才能 实现 真正 的 安全 。 因 此 ,建议 集团 公司 建立 安全 管理 组 织 机 构 , 并 且 制 定 相应 的 安 
全 规章 制度 ,以 辅助 整个 安全 系统 的 运行 。 

依据 国家 法 律 法 规 标准 .国际 标准 和 集团 具体 情况 制定 企业 级 的 安全 政策 .标准 和 流 
程 ,为 日 常 的 安全 管理 ,安全 决策 提供 成 文 的 ,统一 的 安全 指导 ,提高 安全 管理 和 决策 水 平 。 
以 下 提供 内 容 参考 一 部 分 : 

A3. 8.1 安全 管理 体系 (管理 制度 ) 样 例 

网 络 中 心 的 安全 管理 政策 是 指导 如 何 对 网 络 中 心 的 资产 ,包括 敏感 性 信息 进行 管理 、 保 
护 和 分 配 的 规则 和 指示 。 网 络 中 心 不 仅 需要 一 个 整体 的 安全 政策 ,而且 , 在 整体 政策 的 框架 
内 ,根据 风险 评估 的 结果 ,需要 制定 更 加 具体 的 安全 政策 ,明确 规定 具体 的 控制 规则 ,如 “ 清 
理 桌 面 和 清除 屏幕 方针 ”“ 访 问 控 制 方针 "等 。 
网 络 中 心 的 网 络 安全 总 体 政策 需要 益 明 网 络 中 心 管 理 层 对 安全 的 承诺 ,提出 网 络 中 心 
管理 网 络 安全 的 方法 ,并 由 管理 层 批准 ,采用 适当 的 方式 (安全 意识 宣传 和 培训 ) 将 政策 传递 
给 员工 。 网 络 中 心 的 总 体 网 络 安全 政策 至 少 应 包括 以 下 内 容 : 

(1) 网 络 安全 的 定义 ,总 体 目 标 、 范 围 ,安全 对 信息 共享 的 重要 性 。 

(2) 管理 层 意图 ,支持 目标 和 网 络 安全 原则 的 阐述 。 

(3) 安全 政策 的 原则 ,标准 的 简要 说 明 , 以 及 依从 具体 要 求 对 网 络 中心 的 重要 性 。 

(4) 网 络 安全 管理 的 一 般 和 具体 的 责任 定义 ,包括 报告 安全 事故 。 

A3.8.2 总 政策 样 例 

1) 总 体 目 标 。 网 络 安全 就 是 通过 防止 和 最 小 化 安全 事故 的 影响 ,保证 网 络 中 心 业 务 持 
续 性 并 最 小 化 商业 损失 。 


2) 网 络 安全 政策 的 内 容 如 下 : 

(1) 政策 的 目标 是 保护 网 络 中 心 的 信息 资产 ,防止 所 有 的 威胁 ,无 论 是 内 部 的 还 是 外 部 
的 ,有 预谋 的 还 是 突 发 性 的 。 

(2) 网 络 中 心 最 高 管理 者 要 批准 网 络 安全 政策 。 

(3) 网 络 中 心 的 安全 政策 要 保证 : 信息 应 该 防范 未 经 授权 的 访问 。 

(4) 确保 信息 的 保密 性 。 

(5) 维护 信息 的 完整 性 。 

(6) 应 顺应 法 规 和 规章 的 要 求 。 

(7) 制定 ,维护 和 试验 业务 持续 性 计划 。 

(8) 所 有 员工 都 要 接受 网 络 安全 培训 。 

(9) 对 网 络 安全 的 所 有 破坏 ,包括 实际 存在 的 或 可 疑 的 ,都 要 报告 ,对 此 网 络 安全 管理 
员 进 行 研究 。 

(10) 现 有 的 支持 安全 政策 的 程序 ,包括 病毒 控制 、 密 码 保 护 等 。 

(11) 应 满足 信息 和 信息 系统 可 用 性 的 商业 要 求 。 

(12) 网 络 安全 管理 者 应 该 对 维护 政策 负 直 接 责任 ,并 在 政策 实施 过 程 中 ,提供 建议 和 
指导 。 

(13) 所 有 的 管理 者 对 在 他 们 工作 区 域 执行 的 政策 负 有 直接 责任 ,并 保证 员工 遵守 
政策 。 

(14) 每 一 个 员工 的 职责 就 是 遵守 政策 。 

3) 为 了 确保 安全 政策 的 持续 的 适应 性 和 有 效 性 ,网 络 中 心 要 定期 进行 评审 和 评价 ,内 
容 通 常 包括 : 

(1) 政策 的 有 效 性 ,由 记录 在 案 的 安全 事件 的 性 质数 量 和 影响 来 证 明 。 

(2) 技术 变更 的 影响 。 当 网 络 中 心 影响 风险 评估 的 基础 发 生变 化 时 ,应 及 时 对 政策 进 
行 评审 ,如 重大 网 络 安全 事件 发 生 、 新 的 漏洞 .网 络 中 心 组 织 结构 或 技术 基础 发 生变 更 等 。 

A3.8.3 具体 安全 政策 样 例 

除了 总 体 政 策 , 网 络 中 心 应 根据 其 特定 具体 要 求 编制 和 执行 具体 的 安全 政策 。 在 网 络 
中 心 的 环境 中 至 少 包含 以 下 具体 安全 政策 
《机 房 安全 管理 规定 》 
《用 户 名 ,口令 安全 管理 规定 》 
《电子 邮件 使 用 安全 管理 规定 》 
《系统 变更 管理 规定 》 
《系统 管理 员 角 色 分 配 和 安全 守则 》 
《远程 维护 安全 管理 规定 》 
《网 络 设 备 配 制 规 范 》 
《防火 墙 配制 规范 》 
《信息 系统 数据 备份 规范 》 
《病毒 防治 安全 规范 》 
《应 用 安全 管理 规定 》 
《介质 管理 规定 》 
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。《 第 三 方 访问 管理 规定 》 

。《 桌 面 安全 规定 》 

。《 应 用 拥有 者 规定 》 

。《 应 用 开发 安全 规定 》 

。《 计 算 机 环境 安全 制度 》 

。《 数 据 和 信息 定 级 ( 归 类 ) 规 定 》 
。《 紧 急 情 况 登 录 规 定 》 

。《 数 据 加 密 规定 》 

。《 离 线 存储 规定 》 

。《 打 印 和 发 布 规定 》 

。《 生 产 文件 变更 制度 》 

。《 安 全 违规 定 级 规定 》 
《声音 系统 安全 规定 》 
《FAX、Modem 系统 使 用 规定 》 


A3.8.4 安全 管理 流程 样 例 

基于 网 络 中 心 的 安全 政策 或 安全 管理 制度 ,网 络 中 心 的 IT 安全 管理 流程 至 少 应 包括 
以 下 内 容 : 

。 安全 突 发 事件 /违例 管理 流程 

。 安全 变更 管理 流程 

。 安全 审计 管理 流程 

。 安全 补丁 管理 流程 

。 安全 备份 流程 

。 安全 监控 流程 

。 安全 风险 评估 流程 

。 安全 计划 维护 流程 


A3.9 安全 服务 


A3.9.1 安全 评估 

安全 评估 服务 可 以 充分 揭示 客户 网 络 系 统 整 体 而 全 面 的 安全 现状 。 可 根据 业界 标准 
(BS7799/ISO17799) 及 操作 惯例 ,分 析 客 户 现 有 的 安全 策略 及 控制 过 程 ,实施 外 部 /内 部 安 
全 扫描 ,在 发 掘 出 已 知 漏洞 的 情况 下 ,向 客户 提供 具体 的 应 对 措施 及 解决 方案 。 在 安全 评估 
基础 上 ,依据 业界 惯例 来 实施 有 针对 性 的 系统 安全 加 固 服务 。 

在 实施 安全 评估 服务 过 程 中 ,会 采用 多 种 符合 标准 的 测试 和 操作 工具 ,这 些 工 具 各 具 特 
色 ,每 个 工具 单独 来 讲 , 都 在 某 一 方面 或 某 一 具体 领域 卓有成效 ,而 将 这 些 工 具 综合 运用 , 恰 
好 构成 一 个 全 面 系统 的 漏洞 扫描 测试 的 评估 方案 。 

安全 扫描 

在 网 络 安全 体系 的 建设 中 ,安全 扫描 工具 花费 低 .效果 好 、 见 效 快 .与 网 络 的 运行 相对 独 


立 、 安 装运 行 简 单 ,可 以 大 规模 减少 安全 管理 员 的 手工 劳动 ,有 利于 保持 全 网 安全 政策 的 统 
一 和 稳定 ,是 进行 风险 分 析 的 有 力 工具 。 安 全 扫描 技术 基本 上 也 可 分 为 基于 主机 的 和 基于 
网 络 的 两 种 ,前 者 主要 关注 软件 所 在 主机 上 的 风险 与 漏洞 ,而 后 者 则 是 通过 网 络 远程 探测 其 
他 主机 的 安全 风险 与 漏洞 。 

在 本 项 目 中 ,安全 扫描 主要 是 通过 评估 工具 以 本 地 扫描 的 方式 对 评估 范围 内 的 系统 和 
网 络 进行 安全 扫描 ,从 内 网 和 外 网 两 个 角度 来 查找 网 络 结构 、 网 络 设备 .服务 器 主机 、 数 据 和 
用 户 账号 /口令 等 安全 对 象 目标 存在 的 安全 风险 ,漏洞 和 威胁 。 

从 网 络 层次 的 角度 来 看 ,扫描 项 目 涉及 如 下 三 个 层面 的 安全 问题 。 

(1) 系统 层 安 全 : 该 层 的 安全 问题 来 自 网 络 运行 的 操作 系统 : UNIX 系列 、Linux 系列 、 
Windows 系列 以 及 专用 操作 系统 等 。 安 全 性 问题 表现 在 两 方面 : 一 是 操作 系统 本 身 的 不 安 
全 因素 ,主要 包括 身份 认证 ,访问 控制 、 系 统 漏洞 等 ; 二 是 操作 系统 的 安全 配置 存在 问题 。 

。 身份 认证 : 通过 IPC $ 进行 口令 猜测 …… 

。 访问 控制 : 注册 表 HKEY_LOCAL_MACHINE 普通 用 户 可 写 ,远程 主机 人 允许 匿名 

FTP 登录 ,ftp 服务 器 存在 匿名 可 写 目 录 …… 

。 系统 漏洞 : System V 系统 Login 远程 缓冲 区 溢出 漏洞 , Microsoft Windows Locator 

服务 远程 缓冲 区 溢出 漏洞 …… 

。 安全 配置 问题 : 部 分 SMB 用 户 存在 薄弱 口令 ,试图 使 用 rsh 登录 进入 远程 系 


(2) 网 络 层 安全 : 该 层 的 安全 问题 主要 指 网 络 信息 的 安全 性 ,包括 网 络 层 身 份 认证 ,网 
络 资源 的 访问 控制 ,数据 传输 的 保密 与 完整 性 .远程 接 和 人、 域名 系统 .路 由 系统 的 安全 ,入 侵 
检测 的 手段 等 。 
。 网 络 资源 的 访问 控制 : 检测 到 无 线 访问 点 …… 
。 域名 系统 : ISC BIND SIG 资源 记录 无 效 过 期 时 间 拒 绝 服务 攻击 漏洞 , Microsoft 
Windows NT DNS 拒绝 服务 攻击 …… 
。 路 由 器 : Cisco IOS Web 配置 接口 安全 认证 可 被 绕 过 ,Nortel 交换 机 /路 由 器 默认 口 
令 漏洞 ,华为 网 络 设备 没有 设置 口令 …… 
(3) 应 用 层 安 全 : 该 层 的 安全 考虑 网 络 对 用 户 提 供 服 务 所 采用 的 应 用 软件 和 数据 的 安 
全 性 ,包括 数据 库 软 件 、Web 服务 .电子 邮件 系统 、 域 名 系统 .交换 与 路 由 系统 .防火墙 及 应 
用 网 管 系统 .业务 应 用 软件 以 及 其 他 网 络 服务 系统 等 。 
。 数据 库 软 件 : Oracle tnslsnr 没有 设置 口令 ,Microsoft SQL Server 2000 Resolution 
服务 多 个 安全 漏洞 …… 
。 Web 服务 器 : Apache Mod_SSL/ Apache-SSL 远程 缓冲 区 溢出 漏洞 , Microsoft IIS 
5.0 printer ISAPI 远程 缓冲 区 溢出 ,Sun ONEViPlanet Web 服务 程序 分 块 编码 传输 


。 电子 邮件 系统 : Sendmail 头 处 理 远 程 溢 出 漏洞 ,Microsoft Windows 2000 SMTP 服 
务 认证 错误 漏洞 …… 

。 防火 墙 及 应 用 网 管 系统 : Axent Raptor 防火 墙 拒绝 服务 漏洞 …… 

。 其 他 网 络 服务 系统 : Wingate POP3 USER 命令 远程 溢出 漏洞 ,Linux 系统 LPRng 
远程 格式 化 串 漏洞 …… 
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三 部 怪 


网 络 安 会 与 管理 


为 了 确保 扫描 的 可 靠 性 和 安全 性 ,我 们 将 根据 网 络 系统 业务 情况 ,与 客户 一 起 确定 扫描 
计划 。 计 划 主 要 包括 扫描 开始 时 间 ,扫描 对 象 预 计 结 束 时 间 、 扫 描 项 目 、 预 期 影响 、 需 要 对 
方 提供 的 支持 等 。 我 们 将 与 网 络 信息 系统 评估 项 目 组 一 起 协商 具体 需要 扫描 的 项 目 。 比 
如 ,为 了 防止 对 系统 和 网 络 的 正常 运行 造成 影响 ,我 们 将 修改 ,配置 一 定 的 扫描 、 审 计策 略 使 
资源 消耗 降低 至 最 小 ,限制 或 不 采用 拒绝 服务 模块 进行 扫描 。 我 们 仅 在 可 控 环 境 下 ,对 非 重 
要 服务 的 主机 、 设 备 进 行 拒绝 服务 扫描 。 对 那些 危险 的 模块 和 重要 主机 则 主要 采用 手动 检 
查 的 方式 。 另 外 ,我 们 将 在 评估 前 将 协助 评估 节点 进行 必要 的 系统 备份 ,并 检查 本 地 的 应 急 
恢复 计划 是 否 合理 。 

在 实际 开始 评估 扫描 时 ,我 们 会 正式 通知 网 络 信息 系统 评估 项 目 组 成 员 。 我 们 将 按照 
预定 计划 ,在 规定 时 间 内 进行 并 完成 评估 工作 。 如 遇 到 特殊 情况 (如 设备 问题 .停电 、 网 络 中 
断 等 不 可 预知 的 状况 ) 不 能 按时 完成 扫描 计划 或 致使 扫描 无 法 正常 进行 时 ,由 双方 召开 临时 
协调 会 协商 予以 解决 。 

手工 检查 

系统 扫描 是 利用 安全 评估 工具 对 绝 大 多 数 评估 范围 内 的 主机 、 网 络 设备 等 方面 进行 漏 
洞 的 扫描 。 但 是 ,评估 范围 内 的 网 络 设备 安 全 策略 的 弱点 和 部 分 主机 的 安全 配置 错误 等 并 
不 能 被 扫描 器 全 面 发 现 ,因此 有 必要 对 评估 工具 扫描 范围 之 外 的 系统 和 设备 进行 手工 检查 。 

系统 的 网 络 设备 的 安全 性 评估 应 主要 考虑 以 下 几 个 方面 : 

。 是 否 最 优 地 划分 了 VLAN 和 不 同 的 网 段 , 保 证 了 每 个 用 户 的 最 小 权限 原则 ; 

。 内 外 网 之 间 ,重要 的 网 段 之 间 是 否 进行 了 必要 的 隔离 措施 ; 

。 路 由 器 、 交 换 机 等 网 络 设备 的 配置 是 否 最 优 ,是 否 配置 了 安全 参数 ; 

。 安全 设备 的 接 入 方式 是 否 正确 ,是 否 最 大 化 地 利用 了 其 安全 功能 而 又 占 系统 资源 最 

小 ,是 否 影响 业务 和 系统 的 正常 运行 。 

同时 ,许多 安全 设备 如 防火 墙 \ 入 侵 检测 等 设备 也 是 人 工 评估 的 主要 对 象 。 因 为 这 些 安 
全 系统 的 作用 是 为 网 络 和 应 用 系统 提供 必要 的 保护 ,其 安全 性 也 必然 关系 到 网 络 和 应 用 系 
统 的 安全 性 是 否 可 用 、 可 控 和 可 信 。 目 前 还 没有 针对 安全 系统 进行 安全 评估 的 系统 和 工具 ， 
只 能 通过 手工 的 方式 进行 安全 评估 。 

安全 系统 的 安全 评估 内 容 主要 包括 : 

。 安 全 系统 是 否 配置 最 优 ,实现 其 最 优 功 能 和 性 能 ,保证 网 络 系统 的 正常 运行 ; 

。 安全 系统 自身 的 保护 机 制 是 否 实现 ; 

。 安 全 系统 的 管理 机 制 是 否 安全 ; 

。 安全 系统 为 网 络 提供 的 保护 措施 , 且 这 些 措施 是 否 正常 和 正确 ; 

。 安全 系统 是 否定 期 升级 或 更 新 ; 

。 安全 系统 是 否 存在 漏洞 或 后 门 。 

渗透 测试 

渗透 测试 是 指 在 获取 用 户 授权 后 ,通过 真实 模拟 黑客 使 用 的 工具 、 分 析 方法 来 进行 实际 
的 漏洞 发 现 和 利用 的 安全 测试 方法 。 这 种 测试 方法 可 以 非常 有 效 地 发 现 最 严重 的 安全 漏 
洞 ,尤其 是 与 全 面 的 代码 审计 相 比 ,其 使 用 的 时 间 更 短 , 也 更 有 效率 。 在 测试 过 程 中 ,用 户 可 
以 选择 渗透 测试 的 强度 ,例如 不 允许 测试 人 员 对 某 些 服务 器 或 者 应 用 进行 测试 或 影响 其 正 
常 运行 。 通 过 对 某 些 重 点 服务 器 进行 准确 全面 的 测试 ,可 以 发 现 系统 最 脆弱 的 环节 ,以 便 


对 危害 性 严重 的 漏洞 及 时 修补 ,以 免 后 患 。 

技术 人 员 进 行 渗透 测试 都 是 在 业务 应 用 空闲 的 时 候 ,或 者 在 搭建 的 系统 测试 环境 下 进 
行 。 另 外 ,我 们 采用 的 测试 工具 和 攻击 手段 都 在 可 控 范 围 内 ,并 同时 准备 充分 完善 的 系统 恢 
复方 案 。 

A3.9.2 安全 加 固 

评估 阶段 结束 之 后 ,我 们 应 该 就 加 固 阶段 的 具体 事项 与 客户 方 进行 协商 ,并 为 实施 操作 
做 好 必要 的 准备 。 

根据 安全 评估 的 结果 ,并 与 客户 方 相关 人 员 进 行 交流 ,复查 相关 文档 资料 ,我 们 应 该 了 
解 以 下 信息 ， 

。 与 目标 服务 器 相关 的 所 有 业务 .技术 .应 用 程序 需求 。 

。 所 有 针对 目标 服务 器 的 安全 策略 及 程序 信息 。 

。 所 有 涉及 备份 .恢复 的 策略 及 程序 。 

。 所 有 当前 的 灾难 恢复 策略 ,程序 及 计划 。 

分 析 并 掌握 了 客户 的 确切 需求 之 后 ,我 们 将 制定 符合 客户 需求 的 安全 加 固 计 划 , 包 括 编 
写 特 定 的 脚本 程序 .准备 相应 的 测试 工具 等 。 

A3.9.3 安全 培训 

管理 人 员 涉 及 的 安全 培训 为 以 下 方面 ， 

。 网 络 安全 基础 知识 

。 什么 是 网 络 安全 

。 网 络 安全 的 重要 性 

。 信息 系统 为 什么 会 不 安全 

。 常见 的 安全 隐患 (物理 环境 不 安全 , 弱 口 令 ,安全 漏洞 ,不 安全 的 工作 习惯 ) 

。 常用 的 一 些 安全 防范 措施 

。 安全 管理 的 重要 性 (让 安全 成 为 习惯 ) 

。 安全 现状 和 发 展 趋势 分 析 

。 公司 的 安全 规范 .标准 培训 

普通 员工 涉及 的 安全 培训 为 以 下 方面 

。 常用 安全 防范 措施 

。 网 络 安全 基础 知识 

。 普通 员工 安全 意识 培训 

。 公司 的 安全 标准 的 培训 

。 公司 的 安全 操作 流程 的 培训 

。 公司 的 安全 策略 的 培训 

。 普通 员工 的 安全 职责 培训 

技术 人 员 涉 及 的 安全 培训 为 以 下 方面 : 

。 黑客 攻击 技术 分 析 

。 网 络 扫描 技术 培训 

。 病毒 及 木马 技术 培训 
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> 冲 于 


。 缓冲 区 溢出 技术 培训 

。 拒绝 服务 攻击 技术 (DOS 及 DDOS) 培 训 

。 网 络 监 听 技 术 培 训 

。 系统 管理 员 管 理 和 操作 流程 培训 

。 系统 管理 员 管 理 职责 培训 

。 紧急 事件 响应 流程 培训 

A3.9.4 紧急 响应 服务 

在 客户 运行 维护 系统 过 程 中 ,作为 客户 方 的 技术 人 员 由 于 时 间 和 精力 的 问题 ,常常 对 于 
这 些 紧 急事 件 缺 乏 有 效 的 处 理 , 这 样 往往 会 对 系统 正常 运转 造成 重大 影响 。 我 们 提供 的 紧 
急 安全 响应 服务 ,那么 在 服务 期 间 ,一 旦 客户 系统 发 生 紧急 事件 ,我们 就 将 派出 专业 安全 工 
程 师 ,到 现场 快速 响应 安全 事件 ,解决 安全 问题 ,并 根据 出 现 的 问题 及 时 调整 安全 策略 ,帮助 
用 户 在 以 后 的 维护 中 正确 解决 问题 。 


A3.10 账号 整合 (可 选 ) 


随 着 信息 系统 应 用 的 增加 ,账号 也 随 之 不 断 增 多 ,有 时 一 个 员工 需要 记 住 近 10 个 账号 ， 
这 对 于 应 用 系统 的 使 用 带 来 了 极 大 的 不 便 。 而 账号 整合 的 概念 解决 了 这 一 大 难题 。 利 用 账 
号 整合 将 多 应 用 系统 的 用 户 信息 集合 到 一 起 ,用 户 只 需 进 行 一 次 登录 即 完成 了 多 个 应 用 系 
统 的 认证 过 程 ,访问 各 个 应 用 时 无 需 在 此 认证 。 

账号 整合 系统 通过 将 各 应 用 系统 的 LDAP 数据 库 整 合 到 账号 管理 服务 器 上 ,用 户 认证 
经 由 该 账号 管理 服务 器 进行 认证 ,由 此 完成 所 有 应 用 系统 的 登录 。 

而 对 于 管理 员 ,在 对 账号 进行 管理 的 过 程 中 ,也 只 需 对 账号 管理 服务 器 进行 管理 ,不 必 
再 为 一 个 员工 在 各 应 用 系统 的 账号 管理 而 分 别 对 数 个 应 用 系统 进行 操作 。 


A4 网 络 安全 中 心 与 分 支 机构 互 联 边界 安全 


A4.1 防火 墙 部 署 


A4.1.1 方案 设计 

我 们 根据 集团 的 网 络 规划 进行 了 防火 墙 的 部 署 设 计 : 

在 网 络 中 心 企业 网 边界 部 署 两 台 元 余 高 性 能 防火 墙 ,连接 两 个 生产 基地 物资 采购 中 
心 开 发 中 心 和 北京 总 部 的 广域网 链 路 ,对 每 个 连接 的 分 支 分 配 一 个 安全 域 ,所 有 经 过 防火 
墙 的 流量 都 将 根据 策略 进行 控制 和 筛选 ,只 有 符合 防火 墙 规则 的 数据 流 才能 正常 到 达 目 的 
地 。 通 过 访问 的 控制 ,很 大 程度 上 防止 了 非法 的 数据 包 进 入 网 络 中 心 ,或 者 进入 其 他 分 支 。 
并 且 防 火 墙 能 在 企业 网 内 部 爆发 病毒 或 蠕虫 造成 网 络 拥塞 时 ,阻止 病毒 和 蠕虫 进入 其 他 安 
全 区 域 ,防止 某 个 区 域 的 病毒 爆发 对 其 他 区 域 造成 影响 ; 

网 络 中 心 两 台 宛 余 高 性 能 防火 墙 定 义 为 热 元 余 备 份 工作 方式 ,当主 用 防火 墙 发 生 故 障 
时 ,自动 将 所 有 会 话 切换 到 备用 防火 墙 上 ,保证 了 网 络 的 不 间断 性 ; 

在 两 个 生产 基地 、 物 资 采购 中 心 . 开 发 中 心 和 北京 总 部 的 广域网 边界 各 部 署 两 台中 等 性 
能 的 防火 墙 ,同样 采用 热 元 余 的 方式 。 对 来 自 网 络 中 心 和 其 他 分 支 的 数据 流 进行 控制 筛选 ， 


保证 了 本 分 支 的 网 络 安全 性 。 如 有 必要 也 可 以 通过 策略 控制 本 分 支 到 网 络 中 心 和 其 他 分 支 
的 数据 进行 控制 筛选 ， 

如 果 和 希望 对 通过 网 络 中 心 和 各 分 支 之 间 传 输 的 数据 进行 加 密 , 则 可 以 使 用 防火 墙 的 
VPN 加 密 功 能 来 实现 , 即 可 以 利用 DDN 线路 配合 防火 墙 VPN 功能 来 实现 ,在 网 络 中 心 和 
各 分 支 之 间 建 立 VPN 加 密 隧道 ,其 传输 的 数据 都 经 过 168 位 加 密 (3DES) 。 

A4.1.2 产品 选 型 

根据 以 上 方案 设计 ,我们 推荐 以 下 相关 产品 供用 户 选择 。 

北京 总 部 ,两 大 生产 基地 、 物 资 采购 中 心 和 开发 中 心 的 边界 防火 墙 ,可 以 选择 性 能 相对 
中 等 的 防火 墙 , 如 Netscreen-204 防火 墙 , 其 特性 如 下 : 


4 个 10/100M 接口 

400M 防火 墙 乔 吐 量 ,200M 3DES 吞吐 量 

最 大 会 话 数 128 000 

最 大 VPN 隧道 数 1000, 最 大 策略 数 4000 条 

拒绝 服务 攻击 防护 功能 ,可 抵御 30 多 种 不 同 的 内 外 部 攻击 

通过 图 形 Web UI、CLI 或 Netscreen-Security Manager 集中 管理 系统 进行 管理 
基于 策略 的 管理 ,用 于 进行 集中 的 端 到 端 生命 周期 管理 


而 对 于 网 络 中心 的 高 性 能 防火 墙 ,我 们 推荐 Netscreen-ISG 1000 防火 墙 ,其 产品 特性 


如 下 : 


4 个 固定 的 10/100/1000 和 最 多 4 个 Mini GBIC(SX 或 LX), 或 最 多 8 个 10/100/ 
1000 ,或 最 多 20 个 10/100 

吞吐 量 为 1G 防火 墙 ,1G 3DES VPN 

最 大 会 话 数 250 000 

最 大 策略 条 数 10 000 

最 多 VPN 隧道 数 2000 

最 大 安全 域 数 默认 为 26 个 ,可 选 为 40 个 

高 可 靠 性 支持 主 用 /备用 、 主 用 / 主 用 、 主 用 / 主 用 ,全 网 状 

透明 模式 ,允许 设备 作为 第 2 层 IP 安全 网 桥 运 行 , 提 供 防火 墙 \VPN 和 DoS 防护 功 
能 ,但 只 需 对 现 有 网 络 进行 最 少 的 改变 

集成 IDP 

基于 策略 的 管理 ,用 于 进行 集中 的 端 到 端 生 命 周 期 管理 

通过 图 形 Web UI、CLI 或 Netscreen-Security Manager 集中 管理 系统 进行 管理 
支持 SNMP, 可 被 网 管 软件 管理 


A4.2 入 侵 检 测 及 防护 部 署 


A4.2.1 方案 设计 
入 侵 检测 及 防护 功能 集成 在 防火 墙 上 ,这样 减 少 了 网 络 中 的 串联 设备 ,同时 排出 了 由 于 


串联 过 多 设备 造成 的 网 络 瓶 颈 。 


基于 网 络 的 入侵 检 测 及 防护 ,在 网 络 枢纽 处 ,部署 网 络 人 侵 检 测 系统 ,网 络 人 侵 检测 系 
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统 将 从 网 络 传输 数据 包 的 分 析 中 判断 一 切 网 络 行为 是 否 合法 ,如 果 发 现 可 疑 的 网 络 行为 , 则 
网 络 和 人 侵 检测 系统 会 报警 ,并 提示 管理 员 。 

人 入 侵 检测 可 以 通过 路 由 、 桥 接 和 端口 镜像 三 种 方式 工作 。 其 中 路 由 和 桥接 模式 可 以 对 
入 侵 行为 进行 阻止 ,但 必须 串联 在 网 络 中 。 端 口 镜像 模式 只 需 并 联 在 网 络 中 ,但 只 能 对 入 侵 
行为 进行 检测 和 报警 。 

A4.2.2 产品 选 型 

入 侵 检测 保护 系统 ,我 们 建议 可 以 采用 在 边界 防火 墙 中 集成 的 IDP 功能 来 实现 如 下 一 
些 功能 : 

(1) 应 用 层 保护 : 无 与 伦比 的 安全 处 理 能 力 和 网 络 分 段 特 性 ,允许 ISG 系列 产品 防止 
蠕虫 .特洛伊 木马 ,间谍 软件 和 恶意 软件 等 现 有 和 新 出 现 的 应 用 层 威胁 入 侵 关键 的 高 速 网 络 
并 在 网 络 中 草 延 。 状 态 特 征 和 协议 异常 检测 等 多 种 攻击 检测 机 制 , 使 IDP 能 够 深入 分 析 应 
用 协议 上下文 和 状态 ,以 便 针 对 现 有 和 新 型 威胁 提供 Zero Day 防护 。 

(2) 网 络 友好 : 为 了 简化 网 络 部 署 ,ISG 系列 产品 将 IDP 功能 与 ScreenOS 无 颖 集成 ， 
并 全 面 利用 公认 的 联网 特性 ,如 动态 路 由 ,包括 OSPF、BGP 和 RIP; 通过 虚拟 路 由 器 实现 
的 多 个 路 由 域 ; NAT/ 路 由 /透明 部 署 选项 ; 无 缝 的 ScreenOS 集成 还 允许 跨越 虚拟 系统 和 
安全 区 域 部 署 IDP 攻击 防护 功能 ,以 防止 攻击 侵入 网 络 或 在 整个 网 络 中 营 延 。 

(3) 基于 策略 的 管理 : 使 用 Netscreen-Security Manager 提供 的 细 粒 度 的 逐条 规则 灵 
活性 ,管理 员 可 逐条 规则 逐个 协议 的 部 署 串联 IDP 或 串联 开发 模式 。 基 于 角色 的 管理 多 
许 安全 团队 将 管理 权 分 配给 适当 人 员 , 从 而 使 一 个 团队 只 负责 管理 IDP 组 件 , 而 让 其 他 团 
队 管 理 防火 墙 `\VPN 或 其 他 任务 。Netscreen-Security Manager 的 直观 用 户 界面 允许 用 户 
快速 轻松 地 管理 攻击 和 事故 调查 以 及 审核 与 报告 工作 ,以 确保 遵从 安全 策略 。 


A4.3 流量 分 析 部 署 


A4.3.1 方案 设计 

在 网 络 中 心 边 界 部 署 流量 分 析 系 统 ， 

在 各 分 支边 界 部 署 流量 分 析 探 针 ,将 获得 的 数据 汇总 到 网 络 安全 中 心 ,进行 数据 分 析 ; 

在 主干 交换 机 上 设置 端口 镜像 ,Monitor 主 链 路 的 交换 机 端口 ; 

将 流量 分 析 系 统 连接 至 设置 过 端口 镜像 的 交换 机 端口 ,以 抓 取 数 据 ; 

利用 流量 分 析 系 统 ,对 所 有 进入 网 络 中 心 的 流量 进行 分 析 , 并 做 出 分 析 报 告 ; 

如 果 发 现 异常 流量 ,如 病毒 爆发 等 , 则 触发 报警 ; 

网 管 人 员 在 网 络 安 全 中 心 使 用 中 心 控制 台 ,可 以 方便 地 连接 到 流量 分 析 系 统 远程 分 析 
引擎 ,实现 对 企业 全 部 网 络 的 监控 分 析 。 

A4.3.2 产品 选 型 

该 流量 分 析 软 件 ,我 们 推荐 目前 性 价 比较 高 的 WildPackets 公司 的 OmniPeek 软件 ,其 
产品 特性 如 下 : 

。 提供 全 网 系统 的 实时 故障 诊断 : 包括 网 络 .计算 机 及 应 用 ; 

。 包含 了 与 现今 网 络 关联 非常 紧密 的 强大 的 分 析 工 具 ; 

。 非 常 直观 ,而 且 易于 使 用 ; 


。 灵活 的 架构 ,对 于 新 的 应 用 非常 易于 扩展 与 升级 ; 
。 可 保护 与 优化 网 络 ; 

。 基于 信息 流 的 专家 分 析 系 统 和 应 用 分 析 ; 

。 交互 式 节点 图 ; 

。 完整 的 七 层 协议 解码 ; 

。 应 用 响应 时 间 (ART) 分 析 ; 

。 安全 功能 ; 

。 监控 与 报表 ; 

。 RMON 分 布 式 分 析 。 


AS 分 支 机 构 网 络 安全 建设 


AS.1 Windows 域 建设 


在 各 分 支 ,部 署 主 备 两 台子 域 控 服 务 器 ,对 本 部 的 Windows 资源 进行 管理 , 且 主 用 备用 
进行 热 备份 ,防止 单 点 故障 ; 

根据 各 分 支 的 各 部 门 ,建立 不 同 的 工作 组 ,对 工作 组 设 定 各 自 的 策略 和 权限 ， 

在 工作 组 中 ,建立 不 同 的 用 户 ,确保 每 人 一 个 账号 ,针对 账号 设 定 不 同 的 策略 和 权限 ; 

将 整个 网 络 中 心 的 客户 端 加 入 域 ,接受 域 管理 ,并 为 软件 和 补丁 分 发 商定 基础 ; 

对 用 户 的 口令 进行 强化 ,强制 客户 端 使 用 高 强度 密码 ,防止 用 户 密码 的 泄漏 ,造成 不 必 
要 的 损失 ; 

限制 一 些 客户 机 的 软件 安装 权限 ,确保 工作 用 机 只 安装 与 工作 有 关 的 软件 ; 

对 一 些 与 域 结 合 的 应 用 ,如 文件 服务 器 等 ,还 可 以 通过 域 完 成 单 点 登录 的 效果 。 


AS.2 桌面 防 病毒 部 署 


在 各 分 支部 署 二 级 防 病毒 服务 器 ; 

在 所 有 客户 端 安装 防 病毒 客户 端 软件 ,并 接受 防 病毒 控制 中 心 的 管理 ; 

各 分 支 的 客户 端 病 毒 定义 升级 则 是 由 二 级 防 病毒 服务 器 强制 完成 ,客户 端 使 用 者 无 权 
拒绝 升级 ,这样 保 证 了 客户 端 防 病毒 软件 的 及 时 更 新 ,对 新 的 病毒 有 最 强 的 抵抗 能 力 ; 

通过 防 病毒 控制 中 心 ,限制 客户 端 无 权 关闭 或 印 载 防 病毒 软件 ,只 有 管理 员 可 以 停止 客 
户 端 防 病毒 软件 。 强 制 开 启 客户 端 防 病毒 软件 ,对 客户 机 起 到 病毒 防护 作用 ， 

可 以 对 客户 端 限制 防 病毒 软件 的 使 用 权限 ,例如 只 能 扫描 本 机 ,不 允许 扫描 网 络 驱 动 
盘 等 。 

我 们 还 可 以 通过 组 的 定义 ,将 不 同类 型 的 客户 端 分 配 到 不 同 的 组 进行 策略 定制 ,例如 笔 
记 本 用 户 需 要 在 出 差 时 去 Internet 下 载 病毒 定义 , 则 可 以 通过 组 划分 ,将 笔记 本 用 户 划分 到 
移动 用 户 组 ,授予 从 Internet 下 载 病毒 定义 的 权利 。 


AS.3 内 网 安全 及 管理 
在 各 分 支部 署 分 支 核心 服务 器 及 分 支 控制 中 心 ; 
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在 所 有 客户 端 部 署 内 网 安全 及 管理 客户 端 代理 ; 

利用 内 网 安全 及 管理 系统 ,对 公司 客户 机 进行 资产 管理 ,例如 统计 公司 客户 机 硬件 信 
息 .软件 信息 ,漏洞 信息 、 补 丁 信息 等 ,并 可 制作 详尽 的 报表 供 管理 员 参 考 和 总 结 ; 

软件 的 分 发 ,限制 客户 端 安装 软件 的 类 型 ,确保 客户 端 只 使 用 与 工作 相关 的 软件 ; 

操作 系统 的 分 发 ,通过 网 内 建设 PXE 服务 器 ,并 利用 客户 端 PXE 网 络 启动 的 功能 ,将 
操作 系统 镜像 文件 分 发 到 客户 端 ,提高 管理 员 维 护 的 效率 ; 

利用 内 网 管理 系统 ,结合 域 ,可 以 对 客户 机 进行 系统 漏洞 扫描 ,并 安装 相关 的 系统 补丁 ， 
保证 客户 端 系 统 补 丁 的 及 时 更 新 ,同时 也 可 根据 管理 员 自 定义 的 补丁 分 发 列表 ,进行 补丁 
分 发 ; 

利用 内 网 管理 系统 ,管理 员 可 以 对 客户 端 进行 远程 协助 ,方便 管理 员 对 庞大 的 计算 机 进 
行 故障 排除 和 管理 ,提高 管理 员 的 工作 效率 ; 

通过 内 网 安全 管理 系统 ,对 客户 端 外 设 如 光驱 、 软 驱 、 移 动 存储 设备 进行 限制 ,防止 员工 
利用 这 些 设 备 泄漏 公司 机 密 ; 

通过 内 网 安全 管理 系统 ,对 客户 端的 网 络 连接 进行 限制 ,防止 员工 通过 电话 拨号 与 外 界 
通信 ; 

通过 内 网 安全 管理 系统 ,对 外 来 人 员 接 入 网 络 中 心 网 络 进行 控制 ,在 未 经 允许 的 情况 
下 ,外 来 人 员 的 接 入 都 被 视 为 非法 ,内 网 安全 管理 系统 将 对 其 进行 阻 断 。 只 有 在 网 络 中心 允 
许 的 情况 下 ,外 来 人 员 才 能 正常 接 入 网 络 中 心 的 网 络 。 


A5.4 文件 保护 及 安全 审计 


A5.4.1 方案 设计 

在 各 分 支部 署 文档 保护 系统 ; 

利用 文件 加 密 , 对 电子 文档 进行 数字 加 密 , 任 何 用 户 都 只 能 通过 用 户 认证 , 且 具 备 解密 
客户 端 ,才能 对 文件 进行 操作 ; 

客户 端 只 能 通过 打开 浏览 器 登录 文档 保护 系统 才 可 下 载 文档 ; 

客户 端 下 载 的 文档 ,必须 对 其 具有 操作 权限 才能 进行 操作 ; 

利用 文档 保护 系统 控制 用 户 对 文档 的 操作 ,例如 细 化 权限 、 只 读 , 不 能 拷贝 .不 能 打印 、 
文件 的 时 效 等 ; 

由 管理 员 或 者 文档 制作 者 分 配 文件 的 使 用 权限 ; 

由 于 对 文档 进行 加 密 处 理 , 即 使 发 生 文件 泄漏 ,窃取 者 也 无 法 打开 受 保护 的 文件 ; 

将 用 户 对 文件 的 操作 进行 安全 审计 ,以 便 管 理 员 查 询 或 发 生 安全 事件 时 查询 作为 法 律 
依据 。 

A5.4.2 产品 选 型 

这 一 类 产品 国内 研发 较 多 ,可 选 范围 也 比较 大 ,我 们 推荐 前 沿 科技 文档 安全 管理 系统 
(产品 型 号 与 网 络 中 心 的 相同 ) 。 


A5.5 强身 份 认证 
采用 的 方法 与 产品 与 网 络 中 心 相同 。 


AS.6 外 网 防毒 墙 部 署 


A5.6.1 方案 设计 
我 们 在 外 网 Internet 接 入 的 边界 部 署 了 防毒 墙 设备 ,所 有 客户 端 与 Internet 之 间 的 流 
量 都 经 过 防毒 墙 设备 扫描 。 
该 防毒 墙 包括 防火 墙 和 防 病毒 的 双重 功能 ,利用 该 防毒 墙 实 现 : 
利用 入 侵 检测 功能 防止 Internet 入 侵 ; 
利用 防火 墙 策略 控制 集团 外 网 和 Internet 之 间 的 通信 ; 
利用 防火 墙 功能 发 布 集团 Web 服务 或 邮件 服务 (如 有 必要 ); 
利用 防 病毒 功能 ,对 经 过 防毒 墙 设备 的 SMTP、POP3、FTP、.HTTP 和 IMAP 等 协议 的 
数据 包 进 行 病毒 扫描 ,如 果 发 现 病毒 , 则 删除 病毒 或 丢弃 数据 包 ; 
通过 防毒 墙 进行 内 容 过 滤 或 URL 过 滤 , 限 制 员 工 上 网 的 范围 。 
A5.6.2 产品 选 型 
根据 以 上 方案 设计 ,我 们 推荐 瑞星 硬件 防毒 墙 RSW-1000 ,满足 实际 需求 ,其 特性 如 下 : 
。3 个 10/100M 接口 ; 
防 病毒 网 关 功 能 ,可 支持 SMTP、POP3、FTP 和 HTTP 协议 ,进行 全 面 病毒 扫描 、 拦 
截 和 清除 ; 
。 提供 了 专业 的 垃圾 邮件 过 滤 引 擎 ; 
。 数据 包 状态 检测 过 滤 的 防火 墙 ; 
。 内 置 VPN 模块 ,并 采用 国际 标准 IPSec 作为 VPN 加 密 、 认 证 的 协议 ,可 以 与 VPN 
网 关 、 客 户 端 软件 建立 加 密 隧 道 ， 
。 具 有 良好 的 日 志 记录 和 日 志 审 计 功 能 ; 
。 防毒 墙 提 供 远程 升级 功能 ,并 且 升级 以 后 防毒 墙 的 配置 规则 会 自动 地 保存 在 防毒 墙 
的 新 版 本 中 ,不 需要 管理 员 进 行 重新 配置 ; 
。 瑞星 防毒 墙 提供 了 双 机 热 备 功能 。 


AS.7 账号 整合 (可 选 ) 


随 着 信息 系统 应 用 的 增加 ,账号 也 随 之 不 断 增 多 ,有 时 一 个 员工 需要 记 住 近 10 个 账号 ， 
这 对 于 应 用 系统 的 使 用 带 来 了 极 大 的 不 便 。 而 账号 整合 的 概念 解决 了 这 一 大 难题 。 利 用 账 
号 整合 将 多 应 用 系统 的 用 户 信息 集合 到 一 起 ,用 户 只 需 进 行 一 次 登录 即 完成 了 多 个 应 用 系 
统 的 认证 过 程 ,访问 各 个 应 用 时 无 需 在 此 认证 。 

账号 整合 系统 通过 将 各 应 用 系统 的 LDAP 数据 库 整合 到 账号 管理 服务 器 上 ,用 户 认证 
经 由 该 账号 管理 服务 器 进行 认证 ,由 此 完成 所 有 应 用 系统 的 登录 。 

而 对 于 管理 员 ,在 对 账号 进行 管理 的 过 程 中 ,也 只 需 对 账号 管理 服务 器 进行 管理 ,不 必 
再 为 一 个 员工 在 各 应 用 系统 的 账号 管理 而 分 别 对 数 个 应 用 系统 进行 操作 。 
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A6 服务 与 承诺 


A6.1 硬件 的 服务 与 保证 体系 


服务 体系 包括 以 下 几 个 方面 : 
。 成 立 专门 的 客户 服务 部 门 
。 指定 专职 技术 负责 人 和 商务 负责 人 
建立 完整 的 客户 档案 

。 客户 的 投诉 由 专人 负责 

。 定期 通过 电话 调查 客户 对 服务 的 满意 度 

。 技术 人 员 和 商务 人 员 定 期 回访 客户 

。 技术 培训 

计算 机 系统 是 一 项 人 机 系统 的 工程 ,人 员 与 技术 的 有 效 结合 必须 通过 培训 和 长 期 实践 
来 实现 。 一 个 系统 运行 的 好 坏 ,不 只 是 与 软 、 硬 件 产 品 和 应 用 系统 的 质量 有 关 , 而 且 和 用 户 
在 计算 机 应 用 ,维护 及 操作 方面 的 素质 有 着 密切 关系 ,因此 ,用 户 培训 工作 是 一 件 极其 重要 
的 工作 。 

我 们 历来 重视 帮助 客户 对 新 产品 及 其 有 关 的 前 沿 技术 的 培训 ,以 便 用 户 迅 速 掌握 目前 
最 先进 的 产品 知识 和 技术 ,建立 可 靠 .稳定 的 维护 队伍 并 及 时 得 到 优质 的 售后 服务 ,维护 用 
户 投资 的 长 期 利益 ,我 们 会 不 断 地 向 用 户 推出 相关 产品 的 技术 课程 培训 及 系统 维护 方面 知 
识 的 更 新 和 扩充 。 

以 下 为 具体 的 培训 内 容 : 

。 关 于 系统 安全 产品 基本 构架 知识 的 培训 

。 关于 系统 安全 产品 日 常 维护 的 培训 

。 关于 操作 平台 使 用 的 培训 

。 关于 系统 安全 产品 常见 故障 即 如 何 解决 的 培训 

培训 人 员 、 地 点、 时 间 、 具 体内 容 将 根据 项 目的 进展 另行 安排 。 培 训 结 束 后 ,有 关 使 用 软 
件 的 部 分 将 以 电子 文档 的 形式 转交 。 

服务 内 容 包 括 以 下 几 个 方面 : 

。 无 限制 的 电话 支持 : 我 们 具有 丰富 的 专家 资源 ,可 以 为 客户 提供 从 硬件 到 软件 的 各 
类 技术 支持 。 获 得 我 们 服务 的 客户 可 以 在 7* 24 内 获得 不 受 限制 的 求助 电话 支持 。 
1 小 时 内 现场 服务 : 对 于 不 能 通过 电话 解决 的 紧急 硬件 问题 ,我 们 将 在 接 到 本 地 客 
户 电 话 后 的 1 小 时 内 , 派 遗 经 过 全 面 培训 的 技术 人 员 抵 达 客 户 现场 。 
预先 通知 服务 : 根据 远程 监控 情况 通过 电子 邮件 把 重要 的 技术 问题 预先 告知 客户 ， 
以 防 患 于 未 然 。 

。 定期 上 门 检查 维护 : 根据 客户 的 需要 ,我 公司 可 每 月 派 技术 人 员 到 现场 检查 系统 的 

运行 状况 ,并 提供 维护 报告 ,确保 系统 运行 良好 并 及 时 发 现 问题 。 

在 系统 实施 服务 完成 之 后 ,我 们 将 根据 与 网 络 中 心 的 服务 协议 提供 以 下 不 同方 式 和 不 

同 级 别 的 支持 服务 。 


根据 实际 需要 和 双方 商定 ,我 们 将 按 下 述 不 同 的 方式 为 集团 提供 。 


方 式 描 述 
我 们 派 遗 人 员 到 网 络 中 心 现场 提供 服务 。 适 用 范围 : 问题 诊断 .处 理 ,使 用 指 
现场 服务 
导 和 问题 解答 
i 我 们 人 员 通 过 热线 电话 方式 为 网 络 中 心 提供 服务 。 适 用 范围 : 问题 诊断 、 处 
部 理 , 使 用 指导 和 问题 解答 


根据 用 户 对 问题 的 初步 描述 和 紧急 程度 ,我 们 将 按 下 述 不 同 的 级 别提 供 响 应 ( 即 安排 出 
适当 人 员 着 手 解决 网 络 中心 的 问题 ,并 专注 于 解决 网 络 中心 的 问题 ,直到 问题 解决 为 止 )。 


紧急 程度 描述 响应 时 间 
我 们 人 员 全 天 24 小 时 可 联络 ,立即 响应 。 接 到 报告 后 立即 做 出 安排 。11 
1 特急 分 钟 内 进行 远程 诊断 ,力争 在 30 分 钟 内 解决 问题 ,对 于 疑难 问题 在 30 分 


钟 内 临时 解决 ,并 在 1 小 时 内 赶 到 网 络 中 心 现 场 

我 们 人 员 全 天 24 小 时 可 联络 ,立即 响应 。 接 到 报告 后 立即 做 出 安排 。30 
2 紧急 分 钟 内 进行 远程 诊断 ,1 小 时 内 解决 问题 。 对 于 疑难 问题 在 1 小 时 内 临 
时 解决 。 在 做 出 安排 后 2 小 时 内 保证 赶 到 用 户 现场 

我 们 人 员 在 正常 工作 时 间 内 可 联络 ,立即 响应 。30 分 钟 内 进行 远程 诊 


3 一 般 断 ,1 小 时 内 解决 问题 。 对 于 疑难 问题 , 接 到 报告 后 当天 保证 赶 到 网 络 中 
心 现场 
不 急 我 们 人 员 在 正常 工作 时 间 内 可 联络 ,立即 响应 。30 分 钟 内 进行 远程 诊 


断 ,24 小 时 内 解决 问题 


A6.2 培训 内 容 


。 技术 培训 : 我 们 将 为 网 络 中 心 的 有 关系 统 安全 产品 及 网 络 安装 和 维护 人 员 提 供 全 
方位 的 技术 方面 的 培训 。 

。 基本 培训 : 在 系统 实施 服务 开始 前 ,我 们 将 为 网 络 中 心 的 有 关 人 员 提 供 有 关 技 术 、 
产品 和 项 目 管理 等 方面 的 培训 。 

。 现场 培训 : 在 系统 集成 服务 和 系统 实施 服务 过 程 中 ,我 们 将 为 网 络 中 心 的 技术 人 员 
提供 针对 所 安装 的 各 个 产品 的 有 关 安 装 、 设 置 . 管 理 , 使 用 和 客户 化 等 方面 的 现场 
培训 。 

。 移交 培训 : 在 系统 实施 服务 过 程 结束 时 ,我们 将 为 网 络 中 心 的 技术 人 员 提 供 针对 所 
安装 的 各 种 产品 的 有 关 安 装 .设置 ,管理 ,使 用 和 客户 化 等 方面 的 总 结 性 培训 ,目的 
是 使 网 络 中 心 的 技术 人 员 能 顺利 接手 。 


网 络 安装 维护 培训 

培训 内 容 培训 时 间 培训 地 点 
系统 安全 产品 使 用 与 维护 1 天 网 络 中心 
系统 安全 产品 优化 与 策略 制定 1 天 网 络 中 心 
系统 安全 产品 安装 与 调试 1 天 网 络 中 心 


三 冲 怪 


忌 飞 科技 集团 公司 (公司 名 为 座 药 ) 网 络 信 息 系统 的 安全 方 炳 建议 万 


A6.3 方案 实施 团队 
网 络 中 心 系统 安全 项 目 组 成 员 


项 目 管理 人 员 
姓名 拟 在 本 工程 中 担任 的 职务 职务 电话 有 无 从 事 类 似 工程 经 验 
张 三 项 目 经 理 技术 总 监 13909999999 丰富 
李 四 项 目 总 协调 副 总 经 理 13908888888 丰富 
主要 项 目 施 工人 员 
姓名 拟 在 本 工程 中 担任 的 职务 电话 有 无 从 事 类 似 工程 经 验 
玉 性 安全 产品 负责 人 13604444444 丰富 
刘 六 安全 服务 负责 人 13665555358 丰富 
赵 七 工程 师 13816666983 丰富 
刘 九 工程 师 13817777750 丰富 
李 二 工程 师 13818888839 丰富 


附录 B 习题 答 


第 1 章 

1. 选择 题 

AAX A DD DD CHBA 
2. 填空 题 

(1) 入 侵 检 测 设备 ,防火 墙 

(2) 动态 密码 或 一 次 性 密码 

(3) 虹膜 ,声音 ,笔迹 

(4) 黑客 

(5) 主动 攻击 ,被 动 攻击 

(6) 拒绝 服务 攻击 

3. 简 答题 ( 略 ) 

第 2 章 

1. 填空 题 

(1) 所 有 资源 ,使 用 过 程 

(2) 上 网 内 容 , 上 网 行为 

(3) TCP/IP,IPX 

(4) 监听 模式 ,网 关 模 式 

2. 简 答题 ( 略 ) 

第 3 章 

1. 选择 题 

-oe : 

2. 填空 题 

(1) tcsec 标准 

(2) 文件 夹 ,共享 资源 

(3) 网 络 攻击 行为 ,网 络 泄密 行为 
(4) Windows 服务 器 ,工作 站 
(5) Guest( 来 宾 ) 

(6) Administrator( 管 理 员 ) 

(7) 系统 审计 保护 级 ,安全 标记 保护 级 ,结构 化 保护 级 
3. 简 答题 ( 略 ) 


网 络 安 会 与 管理 


第 4 章 

1. 选择 题 

电信 

2. 填空 题 

(1) 保障 信息 安全 的 重要 手段 ,防止 信息 泄露 和 失 密 的 有 效 措施 ,提高 关键 信息 保密 
水 平 

(2) 识别 ,鉴别 

(3) 数字 签字 , 哈 希 函数 

(4) 基础 设施 , 密 钥 证 书 

(5) 密 钥 管理 子 系统 ,证书 受理 子 系统 

(6) 密码 编码 学 ,密码 分 析 学 

(7) 隐 写 术 

(8) DES 

(9) 私 用 密 钥 加 密 技术 (对 称 加 密 ) ,公开 密 钥 加 密 技术 ( 非 对 称 加 密 ) 

(10) RSA 

(11) 哈 希 算法 

(12) 证 书 颁发 机 构 (CA) 

3. 简 答题 ( 略 ) 

第 5 章 

1. 选择 题 

DBDB B 

2. 填空 题 

(1) 账号 ,肉鸡 

(2) 远程 控制 ,隐蔽 性 , 非 授 权 性 

(3) 系统 漏洞 

(4) 电子 邮件 ,恶意 网 页 

(5) Internet 防火 墙 

3. 简 答题 ( 略 ) 

第 6 章 

1. 选择 题 

ADBDBCC€ 

2. 填空 题 

(1) 包 过 滤 ,应 用 层 数据 

(2) 单 向 导 通 

(3) 隔离 区 , 非 军 事 化 区 

(4) 内 部 网 络 ,外 部 网 络 

(5) 路 由 器 ,用 户 化 ,建立 在 通用 操作 系统 上 ,具有 安全 操作 系统 

(6) 静态 转换 ,动态 转换 ,端口 地 址 转换 


(7) 应 用 代理 网 关 

3. 简 答题 ( 略 ) 

第 7 章 

1. 填空 题 

(1) 人 侵 检测 系统 (IDS) 

(2) 异常 检测 , 误 用 检测 

(3) 基于 主机 ,基于 网 络 

(4) 事件 产生 器 ,事件 分 析 器 ,响应 单元 
(5) 保密 性 ,可 用 性 

2. 简 答题 ( 略 ) 

第 8 章 

1. 选择 题 
DBCAB 

2. 填空 题 

(1) 隧道 技术 

(2) 数据 链 路 层 , 帧 

(3) 网 络 层 , 包 

(4) 第 3 层 隧道 

(5) 手工 配置 , 密 钥 交换 协议 
(6) 伪造 ,被 和 贷 改 

(7) AH,ESP, 密 钥 管理 协议 (ISAKMP) 
(8) 公 钥 加 密 

(9) MD5 和 SHA 

(10) 内 部 网 

(11) TCP/IP, 应 用 层 

(12) https 

3. 简 答题 ( 略 ) 


习题 答案 


中 部 宇 


读者 意见 反馈 


亲爱 的 读者 : 

感谢 您 一 直 以 来 对 清华 版 计算 机 教材 的 支持 和 爱护 。 为 了 今后 为 您 提供 更 优秀 的 教 
材 ， 请 您 抽出 宝贵 的 时 间 来 填写 下 面 的 意见 反馈 表 ， 以 便 我 们 更 好 地 对 本 教材 做 进一步 改 
进 。 同 时 如 果 您 在 使 用 本 教材 的 过 程 中 遇 到 了 什么 问题 ， 或 者 有 什么 好 的 建议 ， 也 请 您 来 


信 告诉 我 们 。 
地 址 : 北京 市 海淀 区 双 清 路 学 研 大 厦 A 座 602 室 计算 机 与 信息 分 社 营销 室 “ 收 
邮编 : 100084 电子 邮件 : jsjjc@tup. tsinghua. edu. cn 


电话 : 010-62770175-4608/4409 邮购 电话 : 010-62786544 


教材 名 称 : 网 络 安全 与 管理 
ISBN 978-7-302-20561-6 


个 人 资料 

姓名 : 年 龄 : 所 在 院 校 /专业 : 

文化 程度 : 通信 地 址 : 

联系 电话 : 电子 信箱 : 

您 使 用 本 书 是 作为 : 口 指定 教材 口 选用 教材 口 辅导 教材 口 自学 教材 
您 对 本 书 封面 设计 的 满意 度 ; 

很 满意 口 满意 口 一 般 口 不 满意 ”改进 建议 

您 对 本 书 印刷 质量 的 满意 度 : 

很 满意 口 满意 口 一 般 口 不 满意 ”改进 建议 

您 对 本 书 的 总 体 满意 度 : 


从 语言 质量 角度 看 口 很 满意 口 满意 口 一 般 口 不 满意 
从 科技 含量 角度 看 ” 口 很 满意 口 满 意 口 一 般 口 不 满意 
本 书 最 令 您 满意 的 是 : 
指导 明确 口内 容 充实 口 讲解 详尽 口 实例 丰富 
您 认为 本 书 在 哪些 地 方 应 进行 修改 ?可 附 页 ) 


您 希望 本 书 在 哪些 方面 进行 改进 ?〈 可 附 页 ) 


电子 教案 支持 


敬爱 的 教师 : 

为 了 配合 本 课程 的 教学 需要 ， 本 教材 配 有 配套 的 电子 教案 (素材 )， 有 需求 的 教师 可 以 与 
我 们 联系 ， 我 们 将 向 使 用 本 教材 进行 教学 的 教师 免费 赠送 电子 教案 (素材 ) ， 和 希望 有 助 于 教学 
活动 的 开展 。 相 关 信 息 请 拨打 电话 010-62776969 或 发 送 电子 邮件 至 jsjjc@tup. tsinghua. edu. cn 
咨询 ， 也 可 以 到 清华 大 学 出 版 社 主 页 (http://www. tup. com. cn 或 http://www. tup. tsinghua. 
edu. cn) 上 查询 。 


